Вопросы Теги

Как сбросить Keytab для Сервера FreeIPA и Клиента

Используя что-то как DNSMasq для действия, поскольку внутренний сервер DNS позволил бы Вам добавлять запись в один файл hosts. Это может быть настроено, чтобы указать на Ваше разделение на сервер DNS или действовать как кэш самостоятельно.

4
задан 18 March 2014 в 14:46
4 ответа

Какой метод аутентификации SSH вы используете? Вы вводите свой пароль или пытаетесь использовать аутентификацию на основе билетов Kerberos (gssapi-with-mic или gssapi-keyex)?

Сообщение «Ошибка проверки целостности дешифрования» может поступать из двух источников. Если вы дадите ему неправильный пароль (ваш пароль не совпадает с ключами вашего принципала в KDC), вы получите это. Вы также получите его, если ваш пароль в порядке, но вкладка на сервере устарела; затем их воссоздание решит проблему.

Keytab на клиенте не имеет значения; это не часть этого сценария. Вероятная проблема здесь в том, что таблица ключей на сервере не синхронизирована с KDC (сервером аутентификации Kerberos или «Центром распространения ключей», который является частью FreeIPA). С Kerberos все удостоверения (или «участники») в системе имеют ключи, которые они используют совместно с KDC. Ключи пользователя генерируются из его пароля. Ключи для программной службы, такой как sshd, генерируются случайным образом и сохраняются в файле, называемом keytab (от «таблицы ключей»), чтобы служба могла получить к ним доступ. Похоже, что ключи для участника SSH были изменены в KDC, но keytab не был обновлен для соответствия. Ваше основное имя имеет вид пользователь @ REALM.Основное имя службы SSH имеет вид host / hostname @REALM. Попробуйте: 

$ ipa-getkeytab -s <FreeIPA server> -p host/<hostname>@REALM -k <keytab file>.

... извлечь текущие ключи для участника службы SSH в новую вкладку ключей. Вы можете использовать klist -ek для просмотра содержимого старой и новой вкладок клавиш. Если у вас есть несоответствие ключей, оно должно отображаться как ключи для одного и того же принципала с разными номерами версий ключей (или «kvno»). Вы можете увидеть что-то вроде: 

# look at the system keytab
$ sudo klist -ek
KVNO Principal
---- --------------------------------------------------------------------------
   1 host/foo.example.com@EXAMPLE.COM (AES-256 CTS mode with 96-bit SHA-1 HMAC)

# look at the new keytab
$ klist -ek <new keytab>
KVNO Principal
---- --------------------------------------------------------------------------
   2 host/foo.example.com@EXAMPLE.COM (AES-256 CTS mode with 96-bit SHA-1 HMAC)
5
ответ дан 3 December 2019 в 03:43

На клиенте я удалил /etc/krb5.keytab На сервере я удалил хост ipa host-del host.example.com

Я удалил программное обеспечение ipa-клиента.

Я переустановил ipa-клиент

Но клиент не работает.

At Наконец, мне пришлось перезапустить ipa-сервер ipactl restart и ...

Клиент работает нормально. Полагаю, что на сервере kdc аналогичного типа было что-то в кэше о клиентских ключах.

Regards.

-2
ответ дан 3 December 2019 в 03:43

Я тоже решил эту проблему. потому что ccache содержал старый ключ для IPA-сервера из предыдущей установки просто нужно удалить / var / lib / sss / db / ccache _ * файл

подробнее в заявке: https://fedorahosted.org/sssd/ticket/2781

1
ответ дан 3 December 2019 в 03:43
  • rm /etc/krb5.keytab
  • kinit admin
  • ipa-getkeytab -s ipahostname.mydomain.com -p (скрыто) -k /etc/krb5.keytab[1239 visiblesystemctl restart sssd
-1
ответ дан 3 December 2019 в 03:43

Теги

Похожие вопросы