Ayer, todos los paquetes de Kerberos en mis compilaciones de contenedores se actualizaron a 1.18.2-5.el8 y 1.17-18.el8 ya no está disponible.
Esto está causando grandes problemas en los servidores.
Todas nuestras conexiones se muestran.
Pre-authentication failed: No key table entry found for user@domain
Gracias.
Respuesta1
Actualizaste a CentOS 8.3, que incluye un Kerberos rebasado.
Para citar delNotas de la versión de RHEL 8.3:
krb5 actualizado a la versión 1.18.2
Los paquetes krb5 se han actualizado a la versión 1.18.2. Las correcciones y mejoras notables incluyen:
- Se han eliminado los tipos de cifrado DES simple y triple.
- El borrador 9 PKINIT se eliminó porque no es necesario para ninguna de las versiones compatibles de Active Directory.
- Ahora se admiten complementos del mecanismo NegoEx.
- Ahora se admite la reserva de canonicalización del nombre de host (dns_canonicalize_hostname = reserva).
(BZ#1802334)
No dijiste qué problemas tienes (¡y deberías tenerlos!). Pero, basándome en la experiencia, supongo que todavía tienes cosas antiguas en tu entorno que usaban 3DES o DES. Por supuesto, todo eso debería haberse reconfigurado, actualizado o desmantelado hace muchos años. Como nadie lo hizo, ahora es el momento de hacerlo.
Respuesta2
Esto solucionó todos nuestros problemas: http://plosquare.blogspot.com/2013/01/solution-for-key-table-entry-not-found.html
Específicamente agregamos
default_tkt_enctypes = arcfour-hmac-md5
default_tgs_enctypes = arcfour-hmac-md5
hacia/etc/krb5.conf