Gestern wurden alle Kerberos-Pakete in meinen Container-Builds auf 1.18.2-5.el8 aktualisiert und 1.17-18.el8 ist nicht mehr verfügbar.
Dies verursacht einige große Probleme auf den Servern.
Unsere Verbindungen zeigen alle
Pre-authentication failed: No key table entry found for user@domain
Danke.
Antwort1
Sie haben ein Upgrade auf CentOS 8.3 durchgeführt, das ein neu basiertes Kerberos enthält.
Um aus demRHEL 8.3 - Versionshinweise:
krb5 wurde auf Version 1.18.2 umbasiert
Die krb5-Pakete wurden auf die Upstream-Version 1.18.2 aktualisiert. Zu den wichtigen Korrekturen und Verbesserungen gehören:
- Single- und Triple-DES-Verschlüsselungstypen wurden entfernt.
- Entwurf 9 PKINIT wurde entfernt, da es für keine der unterstützten Versionen von Active Directory benötigt wird.
- Plug-Ins für den NegoEx-Mechanismus werden jetzt unterstützt.
- Fallback auf die Kanonisierung von Hostnamen wird jetzt unterstützt (dns_canonicalize_hostname = Fallback).
(BZ#1802334)
Sie haben nicht gesagt, welche Probleme Sie haben (und das hätten Sie tun sollen!). Aber ich würde aufgrund meiner Erfahrung vermuten, dass Sie in Ihrer Umgebung immer noch altes Zeug haben, das 3DES oder DES verwendet. Natürlich hätte all dieses Zeug schon vor vielen Jahren neu konfiguriert, aktualisiert oder außer Betrieb genommen werden sollen. Da dies niemand getan hat, ist es jetzt an der Zeit, es zu tun.
Antwort2
Dies hat alle unsere Probleme behoben: http://plosquare.blogspot.com/2013/01/solution-for-key-table-entry-not-found.html
Konkret haben wir hinzugefügt
default_tkt_enctypes = arcfour-hmac-md5
default_tgs_enctypes = arcfour-hmac-md5
zum/etc/krb5.conf