Kerberosを長期間管理しないとレンガになりますか?

Kerberosを長期間管理しないとレンガになりますか?

奇妙な問題があります。 kerberos / openldap環境はレンガで覆われています。私が試しているすべての結果が、、SERVER_NOT_FOUND PERMISSION_DENIEDINSUFFICIENT ACCESSさまざまに変更されるため、新しいユーザー、コンピュータ、またはその他の項目を追加することはできません。 CLIENT_NOT_FOUND

Kerberos環境を変更していない場合(例:1年間)、これは通常発生しますか?

その目的は、NFS共有を保護することです。これで、データを複製するために別のNFS共有を追加したいのですが、どのような方法でも設定を変更することはできません。

としてログインしましたが、root以下kadmin.localを使用して次の操作を実行することはできません。

  • 新しい管理者の作成
  • 管理ユーザーのパスワードを変更します。
  • 管理者としてログイン
  • メインメンバーの追加

私はこれを行うことができます:

  • openLDAPパスワードを使用してコマンド(エントリの追加など)を実行します。

私もこれを行うことができます:

  • 既存の共有をインストールして使用します。 (これはopenLDAPとkrb5の両方がまだ実行中であることを意味し、どの設定も変更できません。)

こんなことを確認しました。

  • krb5kdc/openldap が実行中です。
  • ACL は .acl ファイルに設定されます。
  • ドメイン名、ドメイン名などが正しいです。
  • ホストファイルは、ドメイン名をローカルホストとして指します。
  • krb5kdc、slapd、kadmind はそのポートでリッスンしています。
  • ファイアウォールルールはありません。
  • 衣類/SELinuxは存在しません。

これらのエラーはさまざまなシステムで吐き出されます。例:次krb5kdcのように本文を追加したい場合kadmin.local

10.0.26.21: SERVER_NOT_FOUND: kadmin/[email protected] for kadmin/[email protected], Server not found in Kerberos database

kadminは言ったが:Principal add failed: Insufficient access while creating "[email protected]@COMPANY.COM"

これはキャッチ-22を生成します。何とかプリンシパルを追加するにはプリンシパルが必要ですか?私の考えでは、kadmin.localこれが設定を作成するときの「ブートストラップ」メカニズムのようです。エラーメッセージは意味がありません。

ログインしようとしてkadmin/adminも機能しません。で同じメッセージが表示されますkrb5kdc

私もこれを見ましたが、興味深いと思いましたpreauth spake failed to initialize: No SPAKE preauth groups configured。この魔法(理解できない頭字語がなぜ出てくるのか)を検索してもSPAKE有用な結果は出ませんでした。

slapcatLDAPデータベース内のすべてのエントリを一覧表示しようとすると。 LDAPに関する限り、ログインは進行しませんkadmin/adminkrbLoginFailedCount: 0おそらく?ドキュメント(これらのコンポーネントがどのように相互作用するのですか?)が不都合なので、これが何を意味するのかわかりません。

loパケットをキャプチャしようとしましたが、all interfacesLDAPトラフィックはまったく送信されませんでした。 Evenとその両方に次の部分が/etc/krb5.confあります/etc/krb5kdc/kdc.conf

[dbmodules]
    openldap_ldapconf = {
        ldap_servers = ldapi:///

        

軌道から発射して最初から始める前に試してみることができる他のものはありますか?

答え1

いいえ、できません。

10.0.26.21: SERVER_NOT_FOUND: kadmin/[email protected] for kadmin/[email protected], Server not found in Kerberos database

「kadmin.local」をまったく使用していないようです。でもそうだけどノーマルkadmin/<fqdn>プリンシパルは存在しませんが(必要に応じて)、kadmin/adminRPCベースの「kadmin」のみが最初にこれらのチケットを取得し、「kadmin.local」はLDAPデータベースに直接アクセスします。

また、エラーメッセージを見ると、を使用しているようです-p kadmin/admin。これをしないでください。これは、「user」または「admin」プリンシパルではなく、サービスプリンシパルです。 (Kadmin.localはKerberos自体を使用しないため、主体はまったく必要ありません。)

kadminは次のように言いましたが、サブジェクトの追加に失敗しました:作成時にアクセス権が不足しています。[Eメール保護]@COMPANY.COM」

アクセスの問題は取り除かれ、これはKerberosプリンシパル名の有効な構文のようには見えません。この形式は通常GSSAPIによって使用されますが、Kerberosにservice@fqdn変換されました。service/fqdn

これはキャッチ-22を生成します。何とかプリンシパルを追加するにはプリンシパルが必要ですか?私の考えでは、kadmin.localは設定を作成するときに「ブートストラップ」メカニズムであるということです。エラーメッセージは意味がありません。

実際にはそうではありません。なぜならまったく表示した内容が印刷されますkadmin.local。一般的なネットワークベースのシステムを実行したいようですkadmin。 (電子の内容が後者の内容を上書きするファイルシステムの破損はありますか?誰かが誤って他のcp内容を上書きしましたか?)

slapcatを使用してldapデータベースのすべての内容を一覧表示したところ、kadmin / adminにその内容があることがわかりましたkrbLoginFailedCount: 0。それでは、LDAPに関する限りログインは行われませんでしたか?

これはクライアント(ユーザー)プリンシパルではなくサービスプリンシパルであるため、ログインは行われません。この属性は、kinit特定のサービスに対して発行されたチケットの数ではなく、ユーザーアカウントで実行されたアクションの数だけを追跡します。

(ホスト主体は通常クライアントでありサービスですが、そうではありません。)

クライアントプリンシパルの場合でも、KDCにバックエンドLDAPデータベースへの読み取り専用アクセスが許可されている場合、この値はゼロになることがよくあります。

LDAPについてはまだログインしていませんか?おそらく?ドキュメント(これらのコンポーネントがどのように相互作用するのですか?)が不都合なので、これが何を意味するのかわかりません。

この場合、LDAP は実際に愚かなデータベースに過ぎません。 krb5kdcサービス(またはkadmin.localツール)がここに接続して、一部のデータを読み書きします。そこはいKerberos認証と対話しないか、kinitまたはせいぜいサービスには、krb5kdcおよびkadmin.localがデータベースコンテンツにアクセスするために使用するLDAPパスワード(ldap.stashにあります)があります。

私もこれを見ましたが、興味深いと思いました。 preauth speaking failed to 初期化: No SPAKE preauth groupsconfigured.この魔法のSPAKE(理解できない略語である理由)を検索しても有用な結果は出ませんでした。

略語に関する限り、これは「RSA」または「AES」などのファミリーに属します。パスワードベースのkinitネットワーク監視(オフラインパスワードクラッキング)を強化するためにオプションで使用できる暗号化アルゴリズム。

SPAKEはオプションです。既存のレガシー(タイムスタンプ)事前認証メカニズムは常に機能します。

loまたはすべてのインターフェイスでパケットをキャプチャしようとしましたが、LDAPトラフィックはまったく送信されません。 /etc/krb5.conf および /etc/krb5kdc/kdc.conf にも次のセクションがあります。

ldap_servers = ldapi:///

それはなぜならこんな部分があります。/run/openldap/ldapiローカルTCP接続の代わりにUnixソケットを使用するようにLDAPクライアントコードに指示します。

olcLogLevel進行中のクエリに関する詳細情報を取得するには、LDAPサーバーを切り替えてくださいstats

関連情報