クライアントのKerberos認証におけるGSS-APIエラーのトラブルシューティング

クライアントのKerberos認証におけるGSS-APIエラーのトラブルシューティング

複数のクライアントのいずれかを使用してkadminに認証すると失敗します。

kadmin: GSS-API (or Kerberos) error while initializing kadmin interface.

Kerberos ホストは対応するサブネットアドレスとして指定されます。

NTPD同期エラーが原因でこのエラーが発生したことがわかりましたが、特定のクライアントのntp(d)設定が異なるかどうかはわかりません。何を確認する必要がありますか? NTPについて?ケルベロス? GSS?作業中のクライアントと機能していないクライアントのKerberos / LDAPファイルを比較する簡単な方法は何ですか? (もちろん、LDAP / Kerberos認証に影響を与えるか影響を与えるすべてのファイルのリストはありますか?)

答え1

注:kinitは機能しますが、kadmin -p adminはNTP /時間の問題のために機能しません。

ファイアウォールの遮断ポート123に閉じ込められている人は、一人でいることはできません。これにより、このようなエラーが発生します。 (Kerberos認証には時間同期が必要です)。

解決策:

  1. Kerberosサーバー(またはLAN上の他のサーバー)をNTPサーバーとして構成します。
  2. 独自の時計に基づいて更新するようにサーバーを構成する
  3. 失敗したクライアントが時間を localhost に同期させる

ローカルタイムサーバーを再構成するには:1.自分の時計をタイムソースとして追加し、ネットワークからの接続(ブロードキャストも含む)を許可します。

system ntp stop

ピコ/etc/ntp.conf

次に追加:

server 0.us.pool.ntp.org iburst
 server 1.us.pool.ntp.org iburst
 server 2.us.pool.ntp.org iburst
 server 3.us.pool.ntp.org iburst
 server 127.127.1.0
 server 127.127.1.0 stratum 10

サブネット:

restrict 10.0.0.0 mask 255.255.255.0

放送:

broadcast 10.0.0.255

ルートとして、次のことを行います。

system ntp start

クライアント側から:

ntpdate -bs 10.0.0.1 #whatever the local ntp host is

関連情報