Solucionar problemas de autenticação Kerberos no Linux
Este artigo aborda alguns dos problemas que você pode encontrar. Alguns dos problemas que incluímos aqui estão:
- Questões decorrentes da configuração do sistema
- Questões decorrentes dos utilitários de clientes e falha em usar ou gerenciar o ambiente Kerberos
- Problemas de criptografia KDC
- Problemas de keytab
Solução de problemas de configuração do sistema Linux Kerberos Problemas de monitoramento e monitoramento
Notavelmente, os problemas que você pode enfrentar com o Linux Kerberos geralmente começam no estágio de configuração. E a única maneira de minimizar os problemas de configuração e monitoramento é seguindo estas etapas:
Etapa 1: verifique se você tem um protocolo Kerberos funcional instalado corretamente em ambas as máquinas.
Etapa 2: sincronize o tempo em ambas as máquinas para garantir que elas funcionem em um período de tempo semelhante. Notavelmente, use a sincronização do tempo de rede (NTS) para garantir que as máquinas estejam dentro de 5 minutos um do outro.
Etapa 3: Verifique se todos os hosts no DNS (Domain Network Service) têm as entradas corretas. Enquanto isso, verifique se cada entrada no arquivo host possui endereços IP relevantes, nomes de host e nomes de domínio totalmente qualificados (FQDN). Uma boa entrada deve ficar assim:
Solução de problemas para o utilitário de cliente Linux Kerberos
Se você está achando difícil gerenciar utilitários de clientes, sempre pode usar os três métodos a seguir para resolver os problemas:
Método 1: Usando o comando KLIST
O comando klist ajudará você a visualizar todos os ingressos em qualquer cache de credenciais ou as chaves no arquivo da guia -chave. Depois de ter os ingressos, você pode encaminhar os detalhes para concluir o processo de autenticação. Uma saída da KLIST para solucionar problemas de utilitários de clientes ficará assim:
Método 2: Usando o comando Kinit para verificar se há problemas no cliente KDC
Você também pode usar o comando Kinit para confirmar se tiver algum problema com seu host KDC e cliente KDC. O utilitário Kinit ajudará você a obter e armazenar um bilhete de bilhetes para o diretor do serviço e o usuário. Os problemas do utilitário do cliente sempre podem resultar de um nome principal errado ou de um nome de usuário errado.
Abaixo está a sintaxe Kinit para o Principal do Usuário:
O comando acima solicitará uma senha, pois cria um principal do usuário. Ao executar o comando, verifique se você substitui o nome de usuário por uma entrada válida do seu diretório.
Por outro lado, a sintaxe Kinit para o diretor de serviço é semelhante aos detalhes na captura de tela abaixo. Observe que isso pode variar de um host para outro:
É interessante.
Método 3: Usando o comando Kinit para verificar os problemas do SMP
Você também pode executar o comando abaixo, independentemente de o comando do kit acima funcionou ou não. Ajuda a determinar se há algum problema com o host SMP. Notavelmente, isso é mais utilizável ao testar sua sever no correio.empresa.com.
Seu comando Kinit levará a estrutura abaixo:
Método 4: Usando o comando ktpass
Às vezes, o problema pode ser um problema com suas senhas. Para verificar que essa não é a causa dos seus problemas de Linux Kerberos, você pode verificar sua versão do utilitário ktpass.
Problemas de solução de problemas de suporte KDC
Kerberos muitas vezes pode falhar devido a uma variedade de problemas. Mas, às vezes, os problemas podem resultar do suporte de criptografia KDC. Notavelmente, esse problema trará a mensagem abaixo:
Faça o seguinte caso você receba a mensagem acima:
- Verifique se as configurações do seu KDC bloqueiam ou restringem qualquer tipo de criptografia
- Confirme se a conta do servidor tem todos os tipos de criptografia verificados.
Solução de problemas de problemas de keytab
Você pode tomar as seguintes etapas se encontrar algum problema de guia -chave:
Etapa 1: Verifique se a localização e o nome do arquivo da guia -chave para o host são semelhantes aos detalhes no KRB5.arquivo conf.
Etapa 2: Verifique se o host e os servidores clientes têm nomes principais.
Etapa 3: Confirme o tipo de criptografia antes de criar um arquivo de guia -chave.
Etapa 4: verifique a validade do arquivo da guia Chave executando o comando Kinit abaixo;
O comando acima deve retornar nenhum erro se você tiver um arquivo de guia de chave válido. Mas, em caso de erro, você pode verificar a validade do SPN usando este comando:
O utilitário acima solicitará que você digite sua senha. Não pedir uma senha implica que seu SPN seja inválido ou não identificável. Depois de digitar uma senha válida, o comando não retornará nenhum erro.
O exposto acima são alguns problemas comuns que você pode encontrar ao configurar ou autenticar com o Linux Kerberos. Este artigo também contém as soluções possíveis para cada um dos problemas que você pode enfrentar.