나는 여기서 가장 이상한 것을 보고 있다. Active Directory 도메인 컨트롤러를 KDC로 사용하여 Kerberos를 통해 사용자 자격 증명의 유효성을 검사하는 RHEL3, 4 및 5 컴퓨터 두 대가 있습니다.
이것은 내 모든 사용자에게 적용됩니다. 하나를 저장하십시오. 있다하나RHEL3 Linux 시스템에 로그인할 수 없는 계정이며 거기에서 다음 오류를 생성합니다.
May 31 13:53:19 mybox sshd(pam_unix)[7186]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.0.1 user=user
May 31 13:53:20 mybox sshd[7186]: pam_krb5: TGT verification failed for `user'
May 31 13:53:20 mybox sshd[7186]: pam_krb5: authentication fails for `user'
내 계정과 같은 다른 계정도 괜찮습니다.
May 31 17:25:30 mybox sshd(pam_unix)[12913]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.0.1 user=myuser
May 31 17:25:31 mybox sshd[12913]: pam_krb5: TGT for myuser successfully verified
May 31 17:25:31 mybox sshd[12913]: pam_krb5: authentication succeeds for `myuser'
May 31 17:25:31 mybox sshd(pam_unix)[12915]: session opened for user myuser by (uid=0)
보시다시피 TGT 검증이 실패합니다. 이는 이 특정 계정에서만 발생하며 다른 계정에서는 발생하지 않습니다.
실패한 사용자 계정의 암호가 재설정되었습니다. Active Directory에서 두 사용자 개체를 모두 검사했지만 이상한 점은 발견되지 않았습니다.
RHEL4 또는 5 상자에 실패한 사용자 계정 로그인이 있는 경우 문제가 없으므로 RHEL3에만 해당되어야 하지만 하나의 계정에만 이 문제가 발생한다는 사실이 암시됩니다. 누군가가 전에 이것을 본 적이 있습니까?
답변1
kinitUnix 상자에서 작업 중인 사용자와 작업하지 않은 사용자가 모두 가능합니까 ? 그렇다면 klist각각에 대해 무엇을 말합니까?
그런 다음 티켓 중 하나를 사용하여 각각에 대해 klist가 표시하는 내용을 확인하세요.
작동하고 티켓이 작동 한다면 kinit(예를 들어 다시 상자에 SSH로 다시 연결 시도) 뭔가 이상한 것이며 상자를 건드릴 수 없으면 다음에 어디로 가야 할지 확신할 수 없습니다.
답변2
우리가 답을 찾았기 때문에 나는 내 자신의 질문에 뻔뻔하게 대답할 것입니다. 인증에 실패한 사용자 개체에는 일종의 인증서가 포함되어 있어 해당 개체가 다른 사용자 개체에 비해 상당히 큽니다.
Active Directory의 구성요소인 Kerberos에는 'MaxTokenSize'라는 속성이 있습니다. 기본적으로 12,000바이트로 설정되어 있습니다. 이전 버전의 Active Directory에서는 8,000바이트입니다. 사람들이 이로 인해 문제에 부딪히는 경우는 대부분 사용자를 너무 많은 그룹(70~100개 그룹 정도)에 넣을 때입니다. 사용자 개체가 이렇게 크면 MaxTokenSize가 인증에 필요한 버퍼에 비해 너무 작아집니다.이 TechNet 기사.
Linux를 실행하는 클라이언트와 관련하여 이 문제에 대해 이야기하는 소스를 추적할 수 없었지만 다음을 찾았습니다.이 장소Kerberos를 사용하는 OpenAFS에 대해, AD의 Kerberos를 사용할 때 너무 큰 티켓에 대해 이야기합니다.
간단히 말해서, 내가 문제를 겪은 사용자는 많은 그룹에 속해 있지는 않았지만 말했듯이 그의 LDAP 개체에 거대한 엉덩이 인증서가 있었기 때문에 꽤 커졌습니다.
인증서를 제거하면 RHEL3에서 Kerberos 인증을 다시 활성화할 수 있을 만큼 사용자 개체가 축소되었습니다.