Recentemente fiz uma nova instalação do FreeIPA (VERSÃO: 4.6.90.pre1+git20180411, API_VERSION: 2.229) no Ubuntu 18.04 LTS. As credenciais de administrador funcionam bem, posso fazer login no aplicativo da web perfeitamente, a criação de usuários e a autenticação de aplicativos da web do cliente funcionam. A autenticação em máquinas clientes funciona principalmente, mas falha ao atualizar a senha (inclusive após o login inicial, quando a atualização da senha é solicitada). O nome de domínio do servidor está codificado corretamente em /etc/hosts para cada máquina (ainda não configurou o DNS) e o firewall está desabilitado.
Eu tentei o kinit no próprio servidor com comportamento semelhante. A autenticação funciona, mas a alteração da senha falha:
kinit: Não é possível entrar em contato com nenhum KDC para o domínio solicitado ao obter credenciais iniciais
kpasswd tem o mesmo problema. Rastreei o comando e consegui isso imediatamente antes da falha:
[4730] 1563905746.373700: Sending initial UDP request to dgram 10.66.28.219:464
[4730] 1563905746.373701: Initiating TCP connection to stream 10.66.28.219:464
[4730] 1563905746.373702: Terminating TCP connection to stream 10.66.28.219:464
A porta 464 parece não estar respondendo a nada e não está sendo captada pelo nmap. 88 é a única porta Kerberos que o nmap encontra.
Sou principalmente um novato em Kerberos. Faz sentido que o serviço de alteração de senha não esteja em execução enquanto o serviço de autenticação estiver? Meu entendimento é que o kadmind lida com ambos e parece estar em execução. Eu tentei brincar com a configuração. Tentei deixar as configurações do kpasswd como padrão ou definir kpasswd_port como 464 explicitamente no kdc.conf
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
restrict_anonymous_to_tgt = true
[realms]
...
kpasswd_port = 464
...
Alguma idéia sobre qual pode ser a causa ou o que devo tentar a seguir? Fiquei sem ideias.
Responder1
Não consegui fazer isso funcionar no Ubuntu. Mudei para o Fedora 30 e não tive problemas em configurá-lo.