Rozwiązywanie problemów z uwierzytelnianiem Kerberos w Linux
W tym artykule dotyczy niektórych problemów, które możesz znaleźć. Niektóre z problemów, które tutaj zawieramy, to:
- Problemy wynikające z konfiguracji systemu
- Problemy wynikające z narzędzi klientów i brak użytkowania lub zarządzanie środowiskiem Kerberos
- Kwestie szyfrowania KDC
- Problemy keytab
Rozwiązywanie problemów z systemem systemu Linux Kerberos i problemy z monitorowaniem
W szczególności problemy, które możesz napotkać z Linuksem Kerberos, często zaczynają się od etapu konfiguracji. A jedynym sposobem na zminimalizowanie problemów z konfiguracją i monitorowaniem jest wykonanie tych kroków:
Krok 1: Upewnij się, że masz funkcjonalny protokół Kerberos poprawnie zainstalowany w obu maszynach.
Krok 2: Synchronizuj czas na obu maszynach, aby upewnić się, że działają one w podobnym ramie czasowym. W szczególności użyj synchronizacji czasu sieciowego (NTS), aby upewnić się, że maszyny znajdują się w ciągu 5 minut od siebie.
Krok 3: Sprawdź, czy wszystkie hosty w usłudze sieciowej domeny (DNS) mają prawidłowe wpisy. Podczas gdy upewnij się, że każdy wpis w pliku hosta ma odpowiednie adresy IP, nazwy hostów i w pełni zakwalifikowane nazwy domen (FQDN). Dobry wpis powinien wyglądać tak:
Rozwiązywanie problemów z Linux Kerberos Problemy z użytecznością klienta
Jeśli trudno jest ci zarządzać narzędziami klientów, zawsze możesz użyć trzech następujących metod do rozwiązania problemów:
Metoda 1: Korzystanie z polecenia Klist
Polecenie Klist pomoże wizualizować wszystkie bilety w dowolnej pamięci podręcznej poświadczenia lub klucze w pliku karty Key. Po uzyskaniu biletów możesz przesłać szczegóły, aby zakończyć proces uwierzytelniania. Wyjście Klist do rozwiązywania problemów z narzędziami klientów będzie wyglądać tak:
Metoda 2: Korzystanie z polecenia Kinit do sprawdzania problemów z klientem KDC
Możesz także użyć polecenia Kinit, aby potwierdzić, czy masz jakieś problemy z hostem KDC i klientem KDC. Narzędzie Kinit pomoże Ci uzyskać i buforować bilet do biletu dla dyrektora usług i użytkownika. Problemy z użytecznością klienta mogą zawsze wynikać z niewłaściwej nazwy głównej lub z niewłaściwej nazwy użytkownika.
Poniżej znajduje się składnia Kinit dla dyrektora użytkownika:
Powyższe polecenie wyruszy w celu uzyskania hasła, ponieważ tworzy główną główną. Podczas uruchamiania polecenia upewnij się, że zastąpiasz nazwę użytkownika ważnym wpisem z katalogu.
Z drugiej strony składnia Kinit for Service Dyrektor jest podobna do szczegółów na poniższym zrzucie ekranu. Zauważ, że może to różnić się w zależności od hosta:
Co ciekawe, polecenie KINIT dla głównej serwisowej nie będzie monizować żadnych haseł, ponieważ używa pliku zakładki klawisza w celu uwierzytelnienia głównego.
Metoda 3: Korzystanie z polecenia Kinit do sprawdzania problemów SMP
Możesz także uruchomić poniższe polecenie niezależnie od tego, czy powyższe polecenie zestawu działało, czy nie. Pomaga ustalić, czy są jakieś problemy z hostem SMP. W szczególności jest to bardziej użyteczne podczas testowania wycięcia na poczcie.firma.com.
Twoje polecenie Kinit weźmie poniższą strukturę:
Metoda 4: Korzystanie z polecenia KTPASS
Czasami problem może stanowić problem z twoimi hasłami. Aby ustalić, że nie jest to przyczyny problemów Linux Kerberos, możesz zweryfikować swoją wersję KTPass.
Rozwiązywanie problemów z problemami wsparcia KDC
Kerberos często porażka z powodu szeregu problemów. Ale czasami problemy mogą wynikać z wsparcia szyfrowania KDC. W szczególności taki problem przyniesie poniższą wiadomość:
Wykonaj następujące, jeśli otrzymasz powyższą wiadomość:
- Sprawdź, czy ustawienia KDC blokują lub ogranicz dowolne typy szyfrowania
- Potwierdź, czy Twoje konto serwera ma sprawdzone wszystkie typy szyfrowania.
Rozwiązywanie problemów z keytab
Możesz podjąć następujące kroki, jeśli napotkasz dowolne problemy z kartą kluczową:
Krok 1: Sprawdź, czy zarówno lokalizacja, jak i nazwa pliku karty kluczowej dla hosta są podobne do szczegółów w KRB5.plik CONF.
Krok 2: Sprawdź, czy serwery hosta i klientów mają główne nazwy.
Krok 3: Potwierdź typ szyfrowania przed utworzeniem pliku karty klucza.
Krok 4: Sprawdź ważność pliku karty klucza, uruchamiając poniższe polecenie Kinit;
Powyższe polecenie powinno zwrócić brak błędu, jeśli masz prawidłowy plik zakładki klawisza. Ale w przypadku błędu możesz zweryfikować ważność SPN za pomocą tego polecenia:
Powyższe narzędzie poprosi Cię o wpisanie hasła. Brak popytu o hasło oznacza, że Twój SPN jest nieprawidłowy lub niezidentyfikowalny. Po wpisaniu prawidłowego hasła polecenie nie zwróci żadnego błędu.
Powyższe są kilka typowych problemów, które możesz napotkać podczas konfigurowania lub uwierzytelniania z Linux Kerberos. Ten zapis zawiera również możliwe rozwiązania dla każdego z problemów, z którymi możesz się spotkać.