私は Alfresco CIFSプロトコル のKerberos認証を構成していますJava(JLANプロジェクト)に完全に実装されています。これは初めてではありません。シングルショット。
同じネットワークで、ActiveDirectoryWindows 2008R2と同じ手順を使用して、2つの環境のセットアップを正常に完了しましたが、運用環境で問題が発生します。
本番のキータブは、他の環境と同様に、RC4-HMACを使用してActiveDirectoryのktpass
によって生成されました。アカウントAlfrescoCifsP
は、本番専用でこのサービス専用です。
ktpass -princ cifs/[email protected]
-mapuser MYDOMAIN\AlfrescoCifsP -pass <password>
-crypto RC4-HMAC-NT -ptype KRB5_NT_PRINCIPAL -out c:\temp\prod.keytab
今私はそれをRedHat 5.8で使用しようとしますMIT Kerberosライブラリとユーティリティのバージョン1.6.1-70-el4と私は次のエラーが発生しました:
$ kinit -k -t prod.keytab cifs/myserver.mydomain.com
kinit(v5): Key table entry not found while getting initial credentials
これは私がチェックしたものです(何度も):
krb5.conf
はデフォルトのレルムセットで問題ありませんktutil
でprod.keytab
を開き、cifs/myserver.mydomain.com
のスロットを一覧表示できますkinit cifs/myserver.mydomain.com
kvno cifs/myserver.mydomain.com
は、keytabエントリからのものと同じキー番号を返します成功するためにすべてが行われました。 2つのサービスアカウントでは成功し、3つ目のサービスアカウントでは失敗しました。唯一の違いは、SPNの長さが他のものより少し長いが、SPNの制限である260文字よりはるかに短い場合があります。
私はstracedkinit -k -t prod.keytab cifs/...
コマンドを使用していて、keytabファイルの読み取り操作と、stderrへのエラーメッセージの出力のすぐ後ろを見ました。
同様の環境で私の問題に一致する既知の問題はありますか?
この問題の原因を診断するにはどうすればよいですか?
そのような失敗の主な理由は何でしょうか?
解決策を見つけるために何を試すべきですか?
ネットワークキャプチャのおかげで、顧客の管理者はNovellによって文書化された一致する問題を発見しました: http://www.novell.com/support/viewContent.do?externalId=7005039&sliceId=1
krb5.conf
に次の行を追加して、kerberos 1.6.1ライブラリの問題を回避しました。
default_tkt_enctypes = rc4-hmac
default_tgs_enctypes = rc4-hmac
私の意見では、これらの行は最近のMIT Kerberosライブラリには必要ありません。