rlm_krb5 Запись таблицы ключей не найдена

c Я работаю над использованием rlm_krb5 для радиуса 3.x на RHEL7. Однако у меня, похоже, возникают проблемы с использованием таблицы ключей.

Может ли быть этап настройки, возможно, с участием пула? Может ли таблица ключей должна быть создана определенным образом?

Я имею:

  • проверил функциональный 2.x конфиг (на RHEL6)
  • проверил сервис prinicpal & keytab /w kinit & klog
  • проверенные разрешения для ключей и папок (750 grp=radiusd) обеспечивают доступ (640 работало при установке 2.x)
  • подтвержденный хост kdc в /etc/krb5.conf
  • найдено /usr/bin/libtool содержит deplibs_check_method="pass all" (против deplibs_test_method)
  • попытался закомментировать пул субстанции, чтобы конфиг выглядел больше как 2.x конфиг
  • попытался изменить владельца группы /etc/krb5.conf
  • попытался использовать keytab, сгенерированный из обеих систем RHEL6 и RHEL7
  • попытался удалить файл кэша /tmp/krb_mycache, используя kdestroy, и перезагрузить систему. (генерируется Kinit)
  • попытался найти кеш приложения в /var/
  • попытался манипулировать принципом обслуживания и паролем, используемым для keytab

Версии:

RHEL6

  • FreeRADIUS-2.2.6-7.el6_9.x86_64
  • FreeRADIUS-krb5-2.2.6-7.el6_9.x86_64
  • FreeRadius-Utils-2.2.6-7.el6_9.x86_64

RHEL7

  • FreeRADIUS-krb5-3.0.13-9.el7_5.x86_64
  • FreeRadius-Utils-3.0.13-9.el7_5.x86_64
  • FreeRADIUS-3.0.13-9.el7_5.x86_64

Отладочный вывод:

>radiusd -X
FreeRADIUS Version 3.0.13
...
  # Loaded module rlm_krb5
  # Loading module "krb5" from file /etc/raddb/mods-enabled/krb5
  krb5 {
      keytab = "/etc/raddb/kerb/radius.keytab"
      service_principal = "radius/myhost.mydomain"
  }
...
Using MIT Kerberos library
rlm_krb5 (krb5): Using service principal "radius/myhost.mydomain@MYDOMAIN"
rlm_krb5 (krb5): Using keytab "FILE:/etc/raddb/kerb/radius.keytab"
rlm_krb5 (krb5): Initialising connection pool
   pool {
       start = 5
       min = 3
       max = 32
       spare = 10
       uses = 0
       lifetime = 0
       cleanup_interval = 30
       idle_timeout = 0
       retry_delay = 1
       spread = no
   }
rlm_krb5 (krb5): Opening additional connection (0), 1 of 32 pending slots used
rlm_krb5 (krb5): Opening additional connection (1), 1 of 31 pending slots used
rlm_krb5 (krb5): Opening additional connection (2), 1 of 30 pending slots used
rlm_krb5 (krb5): Opening additional connection (3), 1 of 29 pending slots used
rlm_krb5 (krb5): Opening additional connection (4), 1 of 28 pending slots used
...
Ready to process requests
(0) Received Access-Request Id 205 from MYIP1:60506 to MYIP2:1812 length >78
...
(0) Found Auth-Type = Kerberos
(0) # Executing group from file /etc/raddb/sites-enabled/default
(0)   Auth-Type Kerberos {
rlm_krb5 (krb5): Reserved connection (0)
(0) krb5: Using client principal "myuser@MYDOMAIN"
(0) krb5: Retrieving and decrypting TGT
(0) krb5: Attempting to authenticate against service principal
(0) krb5: ERROR: Error verifying credentials (-1765328339): No key table entry found for radius/myhost.mydomain@MYDOMAIN
rlm_krb5 (krb5): Released connection (0)
Need 5 more connections to reach 10 spares
rlm_krb5 (krb5): Opening additional connection (5), 1 of 27 pending slots used
(0)     [krb5] = fail
(0)   } # Auth-Type Kerberos = fail
(0) Failed to authenticate the user
(0) Using Post-Auth-Type Reject
...
Ready to process requests
^C

манипулирование параметром service_principle в krb5:

service_principal = radius/myhost.mydomain@MYDOMAIN

(0) krb5: ERROR: Error verifying credentials (-1765328203): No key table entry found for radius/myhost.mydomain\@mydomain@MYDOMAIN

service_principal = неправильное_имя_принципа

(0) krb5: ERROR: Error verifying credentials (-1765328203): No key table entry found for wrong_name_of_principle/myhost.mydomain@MYDOMAIN

service_principal = радиус

(0) krb5: ERROR: Error verifying credentials (-1765328339): No key table entry found for radius/myhost.mydomain@MYDOMAIN

управление неверным паролем в таблице ключей с помощью правильного service_prinicple:

(0) krb5: ERROR: Error verifying credentials (-1765328203): No key table entry found for radius/myhost.mydomain@MYDOMAIN

Проверьте keytab:

kinit -V -k -t ./radius.keytab  radius/myhost.mydomain
Using default cache: /tmp/krb_mycache
Using principal: radius/myhost.mydomain@MYDOMAIN
Using keytab: ./radius.keytab
Authenticated to Kerberos v5

klist  -k ./radius.keytab
Keytab name: FILE:./radius.keytab
KVNO Principal
 ---- --------------------------------------------------------------------------
   1 radius/myhost.mydomain@MYDOMAIN

Исследование кода ошибки:

Состояние сбоя указывает на проблему с подключением к KDC. rlm_krb5

fail The module was unable to connect to the Kerberos DC.

Приложение - Сообщения об ошибках Kerberos (krb5) Коды состояния Kerberos v5

-1765328339 KRB5KRB_AP_ERR_NOKEY Service key not available

Сообщения об ошибках Kerberos и устранение неполадок

Service key not available
Cause: The service ticket in the credentials cache may be incorrect.
Solution: Destroy current credential cache and rerun kinit before trying to use this service.
Источник

0 ответов

Другие вопросы по тегам