Ontem, todos os pacotes Kerberos em minhas compilações de contêiner foram atualizados para 1.18.2-5.el8 e 1.17-18.el8 não está mais disponível.
Isso está causando grandes problemas nos servidores.
Todas as nossas conexões mostram
Pre-authentication failed: No key table entry found for user@domain
Obrigado.
Responder1
Você atualizou para o CentOS 8.3, que inclui um Kerberos rebaseado.
Para citar oNotas de versão do RHEL 8.3:
krb5 rebaseado para a versão 1.18.2
Os pacotes krb5 foram atualizados para a versão upstream 1.18.2. Correções e melhorias notáveis incluem:
- Os tipos de criptografia DES simples e triplo foram removidos.
- O Draft 9 PKINIT foi removido porque não é necessário para nenhuma das versões suportadas do Active Directory.
- Plug-ins do mecanismo NegoEx agora são suportados.
- O fallback de canonicalização de nome de host agora é suportado (dns_canonicalize_hostname = fallback).
(BZ#1802334)
Você não disse quais problemas está tendo (e deveria ter!). Mas eu acho que com base na experiência você ainda tem coisas antigas em seu ambiente que usavam 3DES ou DES. É claro que tudo isso deveria ter sido reconfigurado, atualizado ou desativado há muitos anos. Como ninguém o fez, agora é a hora de fazê-lo.
Responder2
Isso resolveu todos os nossos problemas: http://plosquare.blogspot.com/2013/01/solution-for-key-table-entry-not-found.html
Especificamente, adicionamos
default_tkt_enctypes = arcfour-hmac-md5
default_tgs_enctypes = arcfour-hmac-md5
para o/etc/krb5.conf