He configurado Kerberos en mi máquina Ubuntu y puedo obtener tickets para los usuarios desde kinitmi otra máquina cliente Fedora Linux.
Pero al aparecer el siguiente error en los registros de depuración de sshd, no tengo idea de lo que significa:
debug1: userauth-request for user user1 service ssh-connection method gssapi-with-mic [preauth]
debug1: attempt 1 failures 0 [preauth]
Postponed gssapi-with-mic for user1 from 10.87.198.85 port 55360 ssh2 [preauth]
debug1: Unspecified GSS failure. Minor code may provide more information
Request ticket server host/[email protected] found in keytab but does not match server principal host/sat.com@
debug1: Got no client credentials
debug1: userauth-request for user user1 service ssh-connection method gssapi-with-mic [preauth]
debug1: attempt 2 failures 1 [preauth]
Mi sshd y KDC se ejecutan en la misma máquina, con la siguiente configuración:
componentes principales de krb5.conf:
[libdefaults]
default_realm = SAT.COM
[realms]
SAT.COM = {
kdc = kdc.sat.com
admin_server = kdc.sat.com
}
Mi archivo /etc/hosts:
127.0.0.1 localhost
10.125.222.30 kdc.sat.com
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
Los directores en mi KDC son los siguientes:
kadmin: listprincs
K/[email protected]
host/[email protected]
host/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kadmin/[email protected]
kiprop/[email protected]
krbtgt/[email protected]
satyam/[email protected]
[email protected]
Cuando hago el kinit inicial desde mi cliente Fedora, obtengo solo un ticket como se muestra a continuación:
[user1@satyam ~]$ kinit
Password for [email protected]:
[user1@satyam ~]$ klist
Ticket cache: KCM:1001
Default principal: [email protected]
Valid starting Expires Service principal
09/24/2019 19:32:46 09/25/2019 05:32:46 krbtgt/[email protected]
renew until 10/01/2019 19:32:41
Pero tan pronto como hago ssh a mi servidor sshd, que es el mismo que el servidor KDC, mi klist tiene más entradas:
[user1@satyam ~]$ ssh kdc.sat.com
Ubuntu 16.04.1 LTS Satyam
[email protected]'s password:
[satyam@satyam ~]$ klist
Ticket cache: KCM:1000
Default principal: [email protected]
Valid starting Expires Service principal
09/24/2019 19:44:59 09/25/2019 05:41:14 host/kdc.sat.com@
renew until 10/01/2019 19:41:10
09/24/2019 19:41:14 09/25/2019 05:41:14 krbtgt/[email protected]
renew until 10/01/2019 19:41:10
09/24/2019 19:44:59 09/25/2019 05:41:14 host/[email protected]
renew until 10/01/2019 19:41:10
También anfitrión principal/[correo electrónico protegido]no se agregó antes, pero luego recibí el siguiente error en sshd, así que intenté agregarlo pero aún así no tuve suerte:
No key table entry found matching host/sat.com@
Cualquier ayuda al respecto será de gran ayuda.
Respuesta1
Estaba buscando mucho en Google en línea y encontré el siguiente parámetro de configuración que de alguna manera resolvió el problema:
Parámetro que utilicé:
[libdefaults]
ignore_acceptor_hostname = true
https://stackoverflow.com/questions/14687245/apache-sends-wrong-server-principal-name-to-kerberos
En el hilo SO anterior, aunque hay una explicación, todavía no entendí muy bien cómo funcionaba y cuál era el problema.
Aún así, si alguien puede explicar cómo este parámetro de configuración resolvió mi problema, sería genial.