web-dev-qa-db-ja.com

Kerberos-PAM認証の失敗:pamまたは事前認証

kinit -p'username 'は機能します-Kerberosレルムのセットアップに問題はありません。

ただし、GUIからログインを取得できません。

クライアントauth.log:

pam_krb5(gdm3:auth): user <username> authenticated as <user>@<realm>
gkr-pam: error looking up user information

サーバーkrb5kdc.log:

Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11:
NEEDED_PREAUTH: <user>@<realm> for krbtgt/<realm>@<realm>, Additional
pre-authentication required


Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11: 
ISSUE: authtime 1412144843, etypes {rep=18 tkt=18 ses=18}, <user>@<realm> for 
krbtgt/<realm>@<realm>

つまり、Kerberosサーバーは問題なくクライアントにチケットを発行しますが、GUIからのログインは機能しません。どんな考えでも本当にありがたいです!

クライアントとサーバーの両方がDebian 7.6.0 x86_64を実行しています。

4
Aroll605

注目すべき重要な行は次のとおりです。

gkr-pam: error looking up user information

認証が成功しても、必ずしもPAMによってアクセスが許可されるとは限りません。ユーザーはオペレーティングシステムによって認識される必要があり、アカウンティングチェック(PAMスタックのaccountモジュール)にも合格する必要があります。

上記のエラーは、ユーザーがシステムに存在しないことを示しています(コンソールから、getent passwd <username>およびgetent shadow <username>両方とも機能しますか?)、または構成したPAMモジュールの1つが、リモートソースからユーザーに関する情報を取得するのに問題があります。

調査をこの方向に集中させれば、問題を特定して修正できるはずです。

1
Andrew B