kpasswd hört nicht auf Port 464

tag-icon tag-icon authentication kerberos freeipa
kpasswd hört nicht auf Port 464

Ich habe vor Kurzem eine Neuinstallation von FreeIPA (VERSION: 4.6.90.pre1+git20180411, API_VERSION: 2.229) auf Ubuntu 18.04 LTS durchgeführt. Die Administratoranmeldeinformationen funktionieren einwandfrei, ich kann mich problemlos bei der Webanwendung anmelden, das Erstellen von Benutzern und die Authentifizierung von Client-Webanwendungen aus funktionieren. Die Authentifizierung von Client-Rechnern funktioniert größtenteils, schlägt jedoch beim Aktualisieren des Kennworts fehl (auch nach der ersten Anmeldung, wenn eine Kennwortaktualisierung angefordert wird). Der Domänenname des Servers ist für jeden Rechner korrekt in /etc/hosts fest codiert (DNS habe ich noch nicht eingerichtet) und die Firewall ist deaktiviert.

Ich habe kinit auf dem Server selbst ausprobiert und es hat sich ähnlich verhalten. Die Authentifizierung funktioniert, aber die Kennwortänderung schlägt fehl:

kinit: Beim Abrufen der ersten Anmeldeinformationen kann kein KDC für den angeforderten Bereich kontaktiert werden.

kpasswd hat das gleiche Problem. Ich habe den Befehl verfolgt und unmittelbar vor dem Fehler Folgendes erhalten:

[4730] 1563905746.373700: Sending initial UDP request to dgram 10.66.28.219:464
[4730] 1563905746.373701: Initiating TCP connection to stream 10.66.28.219:464
[4730] 1563905746.373702: Terminating TCP connection to stream 10.66.28.219:464

Port 464 scheint auf nichts zu reagieren und wird von nmap nicht erkannt. 88 ist der einzige Kerberos-Port, den nmap findet.

Ich bin ein Neuling bei Kerberos. Ist es sinnvoll, dass der Dienst zum Ändern des Passworts nicht ausgeführt wird, während der Authentifizierungsdienst ausgeführt wird? Ich habe es so verstanden, dass kadmind beides handhabt, und es scheint tatsächlich zu laufen. Ich habe versucht, mit der Konfiguration herumzuspielen. Ich habe versucht, die kpasswd-Einstellungen auf den Standardwerten zu belassen oder kpasswd_port in kdc.conf explizit auf 464 einzustellen.

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88
 restrict_anonymous_to_tgt = true

[realms]
...
 kpasswd_port = 464
...

Irgendwelche Ideen, was die Ursache sein könnte oder was ich als nächstes versuchen sollte? Mir gehen die Ideen aus.

Antwort1

Ich konnte dies unter Ubuntu nicht zum Laufen bringen. Ich bin auf Fedora 30 umgestiegen und hatte keine Probleme bei der Einrichtung.

verwandte Informationen