管理サーバーからkadminインターフェースを初期化しているときのKerberosエラー
私はKerberos 5サーバーのマスターキーを更新しました MIT Kerberos 5の指示に従って 。kdcおよびkadmindサービスを再起動し、krb5-propを使用して変更をプッシュしました他のサーバー。
現在、管理サーバーを含むどのサーバーからもkadminに接続できません。
$kadmin
Authenticating as principal jacob/[email protected] with password.
Password for jacob/[email protected]:
kadmin: GSS-API (or Kerberos) error while initializing kadmin interface
私の検索から、これの一般的な理由は時間同期の問題であることがわかりましたが、マシンは1秒以内に一致し、kadmindを実行しているサーバーからでも失敗します。
これをトラブルシューティングする方法がわかりません。私のバージョンのkadmindには、私が見つけたデバッグ引数や詳細ログレベルはありません。コマンドラインから-noforkを使用して実行してみましたが、非常に静かです。
パスワードが受け入れられます。ターゲットプリンシパルとしてkinitを実行でき、パスワードを間違って入力すると、それがわかります。
kadmin: Incorrect password while initializing kadmin interface
Kadmindサービスが実行されていない場合も、別のエラーが発生します。
kadmin: Communication failure with server while initializing kadmin interface
マスターパスワードを更新する直前にkadminをテストしませんでしたが、最近それを使用しており、他の構成変更は行われていません。鍵のバージョン番号(kvno)を確認してみましたが、正しいようです。
他に何が原因ですか?他にどこで確認できますか?どうすればkadmindをデバッグできますか?
Debian 8、krb5-admin-server 1.12.1。
私は同じ問題に遭遇しました(同じDebianおよびkrb5-admin-serverバージョン)。
あなたと同じように、私がkerberos管理サーバー自体からkadminを実行したときは機能していませんでした。これにより、時差を除外しています(NTPをインストールした場合でも、問題)。
私の場合、問題はエントロピーの問題であることが判明しました。 Kadminが非常に安全であるためには、セッションキーを生成するために多くのエントロピーが必要です。
私のセットアップ(テストセットアップ)が仮想マシンで実行されています。 kadminがまったくできなかったことがわかりましたが、約30分後にkadminは「不思議なことに」動作し始めました。
システムエントロピーは次の場所で確認できます。
/ proc/sys/kernel/random/entropy_avail
この問題を解決するために、ホストコンピューターのエントロピー(/ dev/random)を利用し、rng-toolsを使用して、これをkadminで利用できるようにしました。
余談ですが、一般的なKerberosのトラブルシューティングについては、以下を参照できます。
https://web.mit.edu/kerberos/krb5-latest/doc/admin/troubleshoot.html
次のようなものは、トレースログをstdoutに送信し、詳細に何が起こっているかを確認できるようにします。
env KRB5_TRACE=/dev/stdout kadmin -p johndoe/[email protected]
サーバー(749デフォルトでは、tcpとudp)の両方であり、クライアントはそれに接続できます。これは私にとってkadmin: Communication failure with server while initializing kadmin interfaceエラー。