Solucionar problemas de autenticación Kerberos en Linux
Este artículo aborda algunos de los problemas que puede encontrar. Algunos de los problemas que incluimos aquí son:
- Problemas que surgen de la configuración del sistema
- Problemas que surgen de los servicios públicos del cliente y la falta de uso o gestionar el entorno Kerberos
- Problemas de cifrado de KDC
- Problemas de KeyTab
Solución de problemas de la configuración del sistema Linux Kerberos y los problemas de monitoreo
En particular, los problemas que puede enfrentar con Linux Kerberos a menudo comienzan desde la etapa de configuración. Y la única forma en que puede minimizar los problemas de configuración y monitoreo es siguiendo estos pasos:
Paso 1: asegúrese de tener un protocolo funcional de Kerberos instalado correctamente en ambas máquinas.
Paso 2: sincronice el tiempo en ambas máquinas para asegurarse de que se ejecuten en un marco de tiempo similar. En particular, use la sincronización del tiempo de red (NTS) para garantizar que las máquinas estén dentro de los 5 minutos de diferencia.
Paso 3: Verifique si todos los hosts en el servicio de red de dominio (DNS) tienen las entradas correctas. Mientras que en eso, asegúrese de que cada entrada en el archivo de host tenga direcciones IP relevantes, nombres de host y nombres de dominio totalmente calificados (FQDN). Una buena entrada debería verse así:
Solución de problemas Problemas de servicios de clientes de Linux Kerberos
Si le resulta difícil administrar las utilidades del cliente, siempre puede usar los siguientes tres métodos para resolver los problemas:
Método 1: Uso del comando klist
El comando klist lo ayudará a visualizar todos los boletos en cualquier caché de credenciales o las claves en el archivo de pestaña de clave. Una vez que tenga los boletos, puede reenviar los detalles para completar el proceso de autenticación. Una salida de Klist para la resolución de problemas de servicios de clientes se verá así:
Método 2: Uso del comando Kinit para verificar los problemas en el cliente KDC
También puede usar el comando Kinit para confirmar si tiene algún problema con su host KDC y cliente KDC. La utilidad de Kinit lo ayudará a obtener y caché un boleto de valoración de boletos para el principal del servicio y el usuario. Los problemas de utilidad del cliente siempre pueden resultar de un nombre principal incorrecto o un nombre de usuario incorrecto.
A continuación se muestra la sintaxis Kinit para el principal del usuario:
El comando anterior solicitará una contraseña, ya que crea un director de usuario. Al ejecutar el comando, asegúrese de reemplazar el nombre de usuario con una entrada válida desde su directorio.
Por otro lado, la sintaxis de Kinit para el principal de servicio es similar a los detalles en la siguiente captura de pantalla. Tenga en cuenta que esto puede variar de un anfitrión a otro:
Curiosamente, el comando Kinit para el principal del servicio no solicitará ninguna contraseña, ya que utiliza el archivo de pestaña de clave entre paréntesis para autenticar el principal de servicio.
Método 3: Uso del comando Kinit para verificar los problemas de SMP
También puede ejecutar el siguiente comando a continuación, independientemente de si el comando del kit anterior funcionó o no. Ayuda a determinar si hay algún problema con el host SMP. En particular, esto es más utilizable al probar su grave por correo.compañía.comunicarse.
Su comando Kinit tomará la siguiente estructura:
Método 4: Uso del comando ktpass
A veces el problema podría ser un problema con sus contraseñas. Para determinar que esta no es la causa de sus problemas de Linux Kerberos, puede verificar su versión de utilidad KTPASS.
Solución de problemas de problemas de soporte de KDC
Kerberos a menudo puede fallar debido a una variedad de problemas. Pero a veces, los problemas podrían resultar del soporte de cifrado de KDC. En particular, tal problema traerá el mensaje a continuación:
Haga lo siguiente en caso de que reciba el mensaje anterior:
- Verifique si su configuración de KDC bloquea o restringe los tipos de cifrado
- Confirme si su cuenta de servidor tiene todos los tipos de cifrado marcados.
Solución de problemas de KeyTab Problemas
Puede tomar los siguientes pasos si encuentra algún problema de pestaña clave:
Paso 1: Verifique que tanto la ubicación como el nombre del archivo de pestaña clave para el host sean similares a los detalles en KRB5.archivo conf.
Paso 2: Verifique si los servidores de host y clientes tienen nombres principales.
Paso 3: confirme el tipo de cifrado antes de crear un archivo de pestaña de clave.
Paso 4: Verifique la validez del archivo de pestaña clave ejecutando el siguiente comando Kinit;
El comando anterior no debe devolver ningún error si tiene un archivo de pestaña de clave válido. Pero en el caso de un error, puede verificar la validez del SPN usando este comando:
La utilidad anterior le indicará que guarde su contraseña. No solicitar una contraseña implica que su SPN no es válido o no identificable. Una vez que se registre una contraseña válida, el comando no devolverá ningún error.
Los anteriores son algunos problemas comunes que puede encontrar al configurar o autenticarse con Linux Kerberos. Este artículo también contiene las posibles soluciones para cada uno de los problemas que puede enfrentar.