我按照MIT Kerberos 5的说明更新了我的Kerberos 5服务器的主密钥。 我重新启动了kdc和kadmind服务,并使用krb5-prop将更改推送到其他服务器。
现在,我无法从任何服务器(包括pipe理服务器)连接kadmin:
$kadmin Authenticating as principal jacob/[email protected] with password. Password for jacob/[email protected]: kadmin: GSS-API (or Kerberos) error while initializing kadmin interface 从我的search,我发现这是一个共同的原因是时间syncronization问题,但机器在一秒钟内匹配,甚至从运行kadmind服务器失败。
我不知道如何解决这个问题。 我的kadmind版本没有任何forms的debugging参数或详细日志logging级别,我发现。 我试着用-nofork在命令行上运行它,在那里很安静。
密码被接受。 我可以kinit作为目标原则,如果我input密码错误告诉我。
kadmin: Incorrect password while initializing kadmin interface
如果kadmind服务没有运行,它也会给出不同的错误。
kadmin: Communication failure with server while initializing kadmin interface
在更新主密码之前,我没有testingkadmin,但是我最近使用它,没有做其他的configuration更改。 我试着检查我的密钥版本号(kvno),他们似乎是正确的。
还有什么可能导致这个? 我还能在哪里检查? 我怎样才能debuggingkadmind?
Debian 8,krb5-admin-server 1.12.1。
我遇到了同样的问题(相同的Debian和krb5 – pipe理服务器版本)。
和你一样,当我从kerberospipe理服务器本身运行kadmin的时候,它并不工作,它排除了时间差异(我甚至安装了NTP来确保它对问题没有影响)。
就我而言,问题原来是熵的问题。 Kadmin非常安全,需要大量的熵来生成会话密钥。
我的设置(testing设置)在虚拟机上运行。 我会发现我根本就没有kadmin,但大约半小时后,kadmin会“神秘地”开始工作。
您可以在以下位置查看系统熵:
的/ proc / SYS /内核/随机/ entropy_avail
为了解决这个问题,我使用了主机的熵(/ dev / random),并使用rng-tools将其提供给kadmin。
另外,对于一般的kerberos故障排除,你可以看看:
https://web.mit.edu/kerberos/krb5-latest/doc/admin/troubleshoot.html
像下面这样的东西会发送跟踪日志logging到标准输出,让你看到详细的情况:
env KRB5_TRACE=/dev/stdout kadmin -p johndoe/[email protected]