Rozwiązywanie problemów z uwierzytelnianiem Kerberos w Linux

Zofia Góra
Rozwiązywanie problemów z uwierzytelnianiem Kerberos w Linux
Podobnie jak wiele innych protokołów uwierzytelniania, często możesz napotkać problemy z konfiguracją Linuksa do uwierzytelnienia za pomocą Kerberos. Oczywiście problemy zawsze różnią się w zależności od etapu uwierzytelnienia.

W tym artykule dotyczy niektórych problemów, które możesz znaleźć. Niektóre z problemów, które tutaj zawieramy, to:

  • Problemy wynikające z konfiguracji systemu
  • Problemy wynikające z narzędzi klientów i brak użytkowania lub zarządzanie środowiskiem Kerberos
  • Kwestie szyfrowania KDC
  • Problemy keytab

Rozwiązywanie problemów z systemem systemu Linux Kerberos i problemy z monitorowaniem

W szczególności problemy, które możesz napotkać z Linuksem Kerberos, często zaczynają się od etapu konfiguracji. A jedynym sposobem na zminimalizowanie problemów z konfiguracją i monitorowaniem jest wykonanie tych kroków:

Krok 1: Upewnij się, że masz funkcjonalny protokół Kerberos poprawnie zainstalowany w obu maszynach.

Krok 2: Synchronizuj czas na obu maszynach, aby upewnić się, że działają one w podobnym ramie czasowym. W szczególności użyj synchronizacji czasu sieciowego (NTS), aby upewnić się, że maszyny znajdują się w ciągu 5 minut od siebie.

Krok 3: Sprawdź, czy wszystkie hosty w usłudze sieciowej domeny (DNS) mają prawidłowe wpisy. Podczas gdy upewnij się, że każdy wpis w pliku hosta ma odpowiednie adresy IP, nazwy hostów i w pełni zakwalifikowane nazwy domen (FQDN). Dobry wpis powinien wyglądać tak:

Rozwiązywanie problemów z Linux Kerberos Problemy z użytecznością klienta

Jeśli trudno jest ci zarządzać narzędziami klientów, zawsze możesz użyć trzech następujących metod do rozwiązania problemów:

Metoda 1: Korzystanie z polecenia Klist

Polecenie Klist pomoże wizualizować wszystkie bilety w dowolnej pamięci podręcznej poświadczenia lub klucze w pliku karty Key. Po uzyskaniu biletów możesz przesłać szczegóły, aby zakończyć proces uwierzytelniania. Wyjście Klist do rozwiązywania problemów z narzędziami klientów będzie wyglądać tak:

Metoda 2: Korzystanie z polecenia Kinit do sprawdzania problemów z klientem KDC

Możesz także użyć polecenia Kinit, aby potwierdzić, czy masz jakieś problemy z hostem KDC i klientem KDC. Narzędzie Kinit pomoże Ci uzyskać i buforować bilet do biletu dla dyrektora usług i użytkownika. Problemy z użytecznością klienta mogą zawsze wynikać z niewłaściwej nazwy głównej lub z niewłaściwej nazwy użytkownika.

Poniżej znajduje się składnia Kinit dla dyrektora użytkownika:

Powyższe polecenie wyruszy w celu uzyskania hasła, ponieważ tworzy główną główną. Podczas uruchamiania polecenia upewnij się, że zastąpiasz nazwę użytkownika ważnym wpisem z katalogu.

Z drugiej strony składnia Kinit for Service Dyrektor jest podobna do szczegółów na poniższym zrzucie ekranu. Zauważ, że może to różnić się w zależności od hosta:

Co ciekawe, polecenie KINIT dla głównej serwisowej nie będzie monizować żadnych haseł, ponieważ używa pliku zakładki klawisza w celu uwierzytelnienia głównego.

Metoda 3: Korzystanie z polecenia Kinit do sprawdzania problemów SMP

Możesz także uruchomić poniższe polecenie niezależnie od tego, czy powyższe polecenie zestawu działało, czy nie. Pomaga ustalić, czy są jakieś problemy z hostem SMP. W szczególności jest to bardziej użyteczne podczas testowania wycięcia na poczcie.firma.com.

Twoje polecenie Kinit weźmie poniższą strukturę:

Metoda 4: Korzystanie z polecenia KTPASS

Czasami problem może stanowić problem z twoimi hasłami. Aby ustalić, że nie jest to przyczyny problemów Linux Kerberos, możesz zweryfikować swoją wersję KTPass.

Rozwiązywanie problemów z problemami wsparcia KDC

Kerberos często porażka z powodu szeregu problemów. Ale czasami problemy mogą wynikać z wsparcia szyfrowania KDC. W szczególności taki problem przyniesie poniższą wiadomość:

Wykonaj następujące, jeśli otrzymasz powyższą wiadomość:

  • Sprawdź, czy ustawienia KDC blokują lub ogranicz dowolne typy szyfrowania
  • Potwierdź, czy Twoje konto serwera ma sprawdzone wszystkie typy szyfrowania.

Rozwiązywanie problemów z keytab

Możesz podjąć następujące kroki, jeśli napotkasz dowolne problemy z kartą kluczową:

Krok 1: Sprawdź, czy zarówno lokalizacja, jak i nazwa pliku karty kluczowej dla hosta są podobne do szczegółów w KRB5.plik CONF.

Krok 2: Sprawdź, czy serwery hosta i klientów mają główne nazwy.

Krok 3: Potwierdź typ szyfrowania przed utworzeniem pliku karty klucza.

Krok 4: Sprawdź ważność pliku karty klucza, uruchamiając poniższe polecenie Kinit;

Powyższe polecenie powinno zwrócić brak błędu, jeśli masz prawidłowy plik zakładki klawisza. Ale w przypadku błędu możesz zweryfikować ważność SPN za pomocą tego polecenia:

Powyższe narzędzie poprosi Cię o wpisanie hasła. Brak popytu o hasło oznacza, że ​​Twój SPN jest nieprawidłowy lub niezidentyfikowalny. Po wpisaniu prawidłowego hasła polecenie nie zwróci żadnego błędu.

Powyższe są kilka typowych problemów, które możesz napotkać podczas konfigurowania lub uwierzytelniania z Linux Kerberos. Ten zapis zawiera również możliwe rozwiązania dla każdego z problemów, z którymi możesz się spotkać.

Programowanie C
Instrukcja IF-ELSE w programowaniu C
Oświadczenie IF-ELSE jest kluczową koncepcją w programowaniu C, która umożliwia podejmowanie decyzji...
Bertram Jóźwiak
php
Jak używać podczas pętli w PHP?
While pętla jest kluczową koncepcją stosowaną do wielokrotnego wykonywania bloku kodu, dopóki nie zo...
Sebastian Kaczyński
Golang
Co to jest klasa i obiekt w Golang?
Go nie ma zajęć ani przedmiotów w klasycznym sensie; Zamiast tego wykorzystuje struktury i interfejs...
Pani Żaneta Pakuła
Pyton
Etykiety osi morskiej
Pani Julia Szwed
c ostre
Co to jest system.Io przestrzeń nazw C#
Oliwia Makowski
Golang
Jakie są typy danych w Golang
Albert Szcześniak
Doker
Jakie są kroki, aby uruchomić Nginx w pojemniku Docker na Ubuntu Top 10.Top 10?
Igor Skrzypek
PowerShell
Jak korzystać z get-adprincipalgroupmembership w PowerShell
Sebastian Kaczyński
Golang
Jak używać słowa kluczowego odroczenia w Golang
Renata Borowiec
c ostre
Jak używać dziedziczenia w C#
Maja Kucharski
C ++
Jak używać wyrażeń logicznych w C ++
Justyna Flak
C ++
Co to są identyfikatory w C++?
Makary Stasiak
Golang
Jakie są stałe w Golang?
Larysa Witczak