我们有一个可用的FreeIPA安装,从二月份开始生产。 几乎一切正常,但是当我们尝试运行命令行FreeIPA相关的工具时,它们都不起作用:
[admin@ipa ~]$ kinit admin Password for [email protected]: [admin@ipa ~]$ klist Ticket cache: KEYRING:persistent:8800000 Default principal: [email protected] Valid starting Expires Service principal 06/30/2014 21:19:30 07/01/2014 21:19:12 krbtgt/[email protected] [admin@ipa ~]$ ipa pwpolicy-show global_policy ipa: ERROR: Kerberos error: ('Unspecified GSS failure. Minor code may provide more information', 851968)/('No Kerberos credentials available', -1765328243) [admin@ipa ~]$ 我不是一个Kerberos专家,不知道要检查什么。 我们如何debugging和解决这个问题?
更新:当我添加-vv我得到以下内容:
[admin@ipa ~]$ ipa -vv pwpolicy-show global_policy ipa: INFO: trying https://ipa.example.com/ipa/xml ipa: INFO: Forwarding 'pwpolicy_show' to server 'https://ipa.example.com/ipa/xml' ipa: ERROR: Kerberos error: ('Unspecified GSS failure. Minor code may provide more information', 851968)/('No Kerberos credentials available', -1765328243) [admin@ipa ~]$
更新2: /etc/krb5.conf的内容如下:
includedir /var/lib/sss/pubconf/krb5.include.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = EXAMPLE.COM dns_lookup_realm = false dns_lookup_kdc = true rdns = false ticket_lifetime = 24h forwardable = yes default_ccache_name = KEYRING:persistent:%{uid} [realms] EXAMPLE.COM = { kdc = ipa.example.com:88 master_kdc = ipa.example.com:88 admin_server = ipa.example.com:749 default_domain = example.com pkinit_anchors = FILE:/etc/ipa/ca.crt } [domain_realm] .example.com = EXAMPLE.COM example.com = EXAMPLE.COM [dbmodules] EXAMPLE.COM = { db_library = ipadb.so }
更新3:这是一个单服务器安装,发行版是Fedora 19,FreeIPA版本是3.3.5
我在configuration中看到的与我的FreeIPA(在Fedora 20上)相比的主要区别是我不使用内核密钥环作为票据caching。
default_ccache_name = KEYRING:persistent:%{uid}
我的/etc/krb5.conf根本没有指定这个,所以使用了默认的FILE。 删除这应该让你再次去。
正如Matthew Ife在评论中指出的那样,内核密钥环更加安全,并且将(最终)成为要走的路,但是目前看起来对于生产使用来说似乎还不够稳定。 你可能希望把这个报告给Fedora作为一个bug。