Risolvi i problemi di autenticazione Kerberos su Linux
Questo articolo affronta alcuni dei problemi che potresti trovare. Alcuni dei problemi che includiamo qui sono:
- Problemi derivanti dalla configurazione del sistema
- Problemi derivanti dalle utility dei clienti e mancato utilizzo o gestione dell'ambiente Kerberos
- Problemi di crittografia KDC
- Problemi di keytab
Risoluzione dei problemi di configurazione e monitoraggio del sistema Linux Kerberos Problemi
In particolare, i problemi che potresti affrontare con Linux Kerberos spesso iniziano dalla fase di configurazione. E l'unico modo per ridurre al minimo i problemi di configurazione e monitoraggio è seguire questi passaggi:
Passaggio 1: assicurarsi di avere un protocollo Kerberos funzionale correttamente installato in entrambe le macchine.
Passaggio 2: sincronizzare il tempo su entrambe le macchine per assicurarsi che siano eseguiti su un periodo di tempo simile. In particolare, utilizzare la sincronizzazione del tempo di rete (NTS) per garantire che le macchine si trovino entro 5 minuti l'una dall'altra.
Passaggio 3: verificare se tutti gli host nel servizio di rete di dominio (DNS) hanno le voci corrette. Durante ciò, assicurarsi che ogni voce nel file host abbia indirizzi IP pertinenti, nomi host e nomi di dominio completamente qualificati (FQDN). Una buona voce dovrebbe apparire così:
Risoluzione dei problemi dei problemi di utilità del client Linux Kerberos
Se stai trovando difficile gestire le utility dei clienti, puoi sempre utilizzare i seguenti tre metodi per risolvere i problemi:
Metodo 1: usando il comando klist
Il comando klist ti aiuterà a visualizzare tutti i biglietti in qualsiasi cache delle credenziali o le chiavi nel file della scheda chiave. Una volta che hai i biglietti, puoi inoltrare i dettagli per completare il processo di autenticazione. Un output di klist per la risoluzione dei problemi delle utility del client sarà così:
Metodo 2: utilizzando il comando kinit per verificare i problemi sul client KDC
Puoi anche utilizzare il comando kinit per confermare se hai problemi con il tuo host KDC e client KDC. L'utilità di Kinit ti aiuterà a ottenere e memorizzare nella memorizzazione di un biglietto per il ticket per il capitale del servizio e l'utente. I problemi di utilità del cliente potrebbero sempre derivare da un nome principale sbagliato o da un nome utente sbagliato.
Di seguito è riportata la sintassi di Kinit per il principale dell'utente:
Il comando sopra richiederà una password in quanto crea un capitale utente. Quando si esegue il comando, assicurati di sostituire il nome utente con una voce valida dalla directory.
D'altra parte, la sintassi di Kinit per il capitale del servizio è simile ai dettagli nello screenshot seguente. Si noti che questo può variare da un host a un altro:
È interessante notare che il comando Kinit per il capitale del servizio non richiederà alcuna password poiché utilizza il file della scheda chiave tra parentesi per autenticare il preside del servizio.
Metodo 3: utilizzando il comando Kinit per controllare i problemi SMP
È inoltre possibile eseguire il comando seguente indipendentemente dal fatto che il comando kit sopra funzionasse o meno. Aiuta a determinare se ci sono problemi con l'host SMP. In particolare, questo è più utilizzabile quando si testa il tuo sever per posta.azienda.com.
Il tuo comando Kinit prenderà la struttura seguente:
Metodo 4: utilizzando il comando KTPASS
A volte il problema potrebbe essere un problema con le tue password. Per accertare che questa non è la causa dei problemi di Linux Kerberos, è possibile verificare la tua versione di utilità KTPass.
Risoluzione dei problemi di supporto KDC
Kerberos può spesso fallire a causa di una serie di problemi. Ma a volte, i problemi potrebbero derivare dal supporto alla crittografia KDC. In particolare, un tale problema porterà il messaggio di seguito:
Fai quanto segue nel caso in cui ricevi il messaggio sopra:
- Verifica se le impostazioni KDC bloccano o limitano i tipi di crittografia
- Conferma se il tuo account server ha tutti i tipi di crittografia controllati.
Risoluzione dei problemi di keytab
È possibile prendere i seguenti passaggi se si riscontrano problemi di scheda chiave:
Passaggio 1: verificare che sia la posizione che il nome del file della scheda chiave per l'host siano simili ai dettagli in KRB5.Conf File.
Passaggio 2: verificare se i server host e client hanno nomi principali.
Passaggio 3: confermare il tipo di crittografia prima di creare un file della scheda chiave.
Passaggio 4: verificare la validità del file della scheda Chiave eseguendo il comando Kinit di seguito;
Il comando sopra non deve restituire nessun errore se si dispone di un file della scheda chiave valida. Ma in caso di errore, è possibile verificare la validità dell'SPN usando questo comando:
L'utilità di cui sopra ti chiederà di chiave nella tua password. La mancata richiesta di password implica che l'SPN non sia valido o non identificabile. Una volta che la chiave in una password valida, il comando non restituirà alcun errore.
Quanto sopra sono alcuni problemi comuni che potresti incontrare durante la configurazione o l'autenticazione con Linux Kerberos. Questo articolo contiene anche le possibili soluzioni per ciascuno dei problemi che potresti affrontare.