最近、Ubuntu 18.04 LTS に FreeIPA (バージョン: 4.6.90.pre1+git20180411、API_VERSION: 2.229) を新規インストールしました。管理者の資格情報は問題なく機能し、Web アプリにも問題なくログインでき、クライアント Web アプリからのユーザーの作成と認証も機能します。クライアント マシンからの認証はほぼ機能しますが、パスワードの更新時に失敗します (最初のログイン後にパスワードの更新が要求された場合も含む)。サーバーのドメイン名は各マシンの /etc/hosts に正しくハードコードされており (DNS はまだ設定していません)、ファイアウォールは無効になっています。
サーバー自体で kinit を試してみましたが、同様の動作でした。認証は機能しますが、パスワードの変更は失敗します。
kinit: 初期資格情報を取得中に、要求されたレルムの KDC に接続できません
kpasswd にも同じ問題があります。コマンドをトレースしたところ、障害が発生する直前に次のメッセージが表示されました。
[4730] 1563905746.373700: Sending initial UDP request to dgram 10.66.28.219:464
[4730] 1563905746.373701: Initiating TCP connection to stream 10.66.28.219:464
[4730] 1563905746.373702: Terminating TCP connection to stream 10.66.28.219:464
ポート 464 は何も応答していないようで、nmap によって取得されていません。88 は nmap が検出する唯一の Kerberos ポートです。
私は Kerberos の初心者です。認証サービスが動作している間、パスワード変更サービスが動作しないというのは理にかなっていますか? 私の理解では、kadmind が両方を処理し、動作しているようです。設定をいじってみました。kpasswd 設定をデフォルトのままにしたり、kdc.conf で kpasswd_port を明示的に 464 に設定したりしてみました。
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
restrict_anonymous_to_tgt = true
[realms]
...
kpasswd_port = 464
...
原因は何なのか、次に何を試すべきなのか、何かアイデアはありますか? アイデアが尽きてしまいました。
答え1
Ubuntu では動作しませんでした。Fedora 30 に切り替えたら問題なく設定できました。