ユーザーのキータブの設定が失敗する：「kinit：初期資格情報の取得中にパスワードが正しくありません」

Question

CentOS7.3を実行しているマシンのクラスターがあります。 Kerberos、DNS、LDAPなどは、FreeIPA4.4を使用して統一された方法で使用されています。

自動テストを実行する特定のユーザーがいます。したがって、このユーザーは、パスワードを入力せずにチケット付与チケットを取得できる必要があります。キータブを作成し、パスワードを効果的に「事前入力」することで、これを実現しようとしました。ただし、以下に示すように、キータブを使用してkinitすることはできません。

KDCからキーバージョン番号（kvno）を取得します

[root@kdc.example.com ~]# kadmin.local -q 'get_principal myuser@EXAMPLE.COM' Authenticating as principal root/admin@EXAMPLE.COM with password. Principal: myuser@EXAMPLE.COM Expiration date: [never] Last password change: Mon Jul 16 06:54:59 CDT 2018 Password expiration date: Tue Jul 23 06:54:59 CDT 2019 Maximum ticket life: 1 day 00:00:00 Maximum renewable life: 7 days 00:00:00 Last modified: Mon Jul 16 06:54:59 CDT 2018 (kadmind@EXAMPLE.COM) Last successful authentication: Mon Jul 23 11:03:38 CDT 2018 Last failed authentication: Mon Jul 23 14:40:57 CDT 2018 Failed password attempts: 1 Number of keys: 2 Key: vno 3, aes256-cts-hmac-sha1-96:special Key: vno 3, aes128-cts-hmac-sha1-96:special MKey: vno 1 Attributes: REQUIRES_PRE_AUTH Policy: [none]

クライアントマシンで、上記のKVNOを使用してキータブを作成します

myuser@client-Host.example.com$ cd /home/myuser myuser@client-Host.example.com$ mkdir .krb5 myuser@client-Host.example.com$ chmod 700 .krb5 myuser@client-Host.example.com$ cd /home/myuser/.krb5 myuser@client-Host.example.com$ ktutil ktutil: addent -password -p myuser@EXAMPLE.COM -k 3 -e aes256-cts Password for myuser@EXAMPLE.COM: ktutil: list slot KVNO Principal ---- ---- --------------------------------------------------------------------- 1 1 myuser@EXAMPLE.COM ktutil: wkt myuser.keytab ktutil: exit

キータブを一覧表示WEクライアントマシンで作成したばかり

myuser@client-Host.example.com$ klist -kte myuser.keytab Keytab name: FILE:myuser.keytab KVNO Timestamp Principal ---- ------------------- ------------------------------------------------------ 1 07/23/2018 14:33:30 myuser@EXAMPLE.COM (aes256-cts-hmac-sha1-96)

クライアントマシンのキータブを使用してみてください

myuser@client-Host.example.com$ klist klist: Credentials cache keyring 'persistent:4866486744:krb_ccache_rGHfj38' not found myuser@client-Host.example.com$ kinit myuser@EXAMPLE.COM -k -t /home/myuser/.krb5/myuser.keytab kinit: Password incorrect while getting initial credentials

このユーザーのキータブの設定でどこが間違っていますか？

Dave · Accepted Answer

クライアントでktutilを使用しても機能しなかった理由はまだわかりませんが、サーバーでkadmin.localを使用すると機能します。

kadmin.local kadmin.local: ktadd -k myuser.keytab -norandkey myuser@EXAMPLE.com kadmin.local: exit

このファイルをクライアントの安全なディレクトリに安全に移動します。

クライアントで、このキータブファイルを次のように使用します。

kinit -k -t myuser.keytab myuser@EXAMPLE.COM