최근 Ubuntu 18.04 LTS에 FreeIPA(버전: 4.6.90.pre1+git20180411, API_VERSION: 2.229)를 새로 설치했습니다. 관리자 자격 증명이 제대로 작동하고 웹 앱에 로그인할 수 있으며 클라이언트 웹 앱에서 사용자 및 인증을 생성할 수 있습니다. 클라이언트 컴퓨터에서의 인증은 대부분 작동하지만 비밀번호를 업데이트할 때 실패합니다(비밀번호 업데이트가 요청된 초기 로그인 후 포함). 서버의 도메인 이름은 각 시스템의 /etc/hosts에 올바르게 하드코딩되어 있으며(아직 DNS를 설정하지 않음) 방화벽이 비활성화되어 있습니다.
비슷한 동작으로 서버 자체에서 kinit을 시도했습니다. 인증은 작동하지만 비밀번호 변경에 실패합니다.
kinit: 초기 자격 증명을 얻는 동안 요청된 영역에 대해 KDC에 연결할 수 없습니다.
kpasswd에도 같은 문제가 있습니다. 명령을 추적하여 실패 직전에 다음을 얻었습니다.
[4730] 1563905746.373700: Sending initial UDP request to dgram 10.66.28.219:464
[4730] 1563905746.373701: Initiating TCP connection to stream 10.66.28.219:464
[4730] 1563905746.373702: Terminating TCP connection to stream 10.66.28.219:464
포트 464는 아무 것도 응답하지 않는 것 같으며 nmap에서 선택되지 않습니다. 88은 nmap이 찾는 유일한 Kerberos 포트입니다.
저는 주로 Kerberos를 처음 접하는 사람입니다. 인증 서비스가 실행되는 동안 비밀번호 변경 서비스가 실행되지 않는다는 것이 말이 됩니까? 내가 이해한 바에 따르면 kadmind는 두 가지를 모두 처리하며 실행 중인 것 같습니다. 구성을 가지고 플레이해보았습니다. kpasswd 설정을 기본값으로 두거나 kdc.conf에서 명시적으로 kpasswd_port를 464로 설정해 보았습니다.
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
restrict_anonymous_to_tgt = true
[realms]
...
kpasswd_port = 464
...
원인이 무엇인지 또는 다음에 무엇을 시도해야 하는지에 대한 아이디어가 있습니까? 아이디어가 부족해요.
답변1
우분투에서는 이 작업을 수행할 수 없습니다. 나는 Fedora 30으로 전환했고 이것을 설정하는 데 아무런 문제가 없었습니다.