Недавно я сделал новую установку FreeIPA (ВЕРСИЯ: 4.6.90.pre1+git20180411, API_VERSION: 2.229) на Ubuntu 18.04 LTS. Учетные данные администратора работают нормально, я могу войти в веб-приложение, создание пользователей и аутентификация из клиентских веб-приложений работают. Аутентификация с клиентских машин в основном работает, но дает сбой при обновлении их пароля (в том числе после первоначального входа, когда запрашивается обновление пароля). Доменное имя сервера правильно прописано в /etc/hosts для каждой машины (DNS еще не настроил), а брандмауэр отключен.
Я пробовал kinit на самом сервере с похожим поведением. Аутентификация работает, но смена пароля не удаётся:
kinit: Невозможно связаться ни с одним KDC для запрошенной области при получении начальных учетных данных
У kpasswd та же проблема. Я отследил команду и получил это непосредственно перед сбоем:
[4730] 1563905746.373700: Sending initial UDP request to dgram 10.66.28.219:464
[4730] 1563905746.373701: Initiating TCP connection to stream 10.66.28.219:464
[4730] 1563905746.373702: Terminating TCP connection to stream 10.66.28.219:464
Порт 464, похоже, ни на что не отвечает и не обнаруживается nmap. 88 — единственный порт Kerberos, который находит nmap.
Я в основном новичок в kerberos. Имеет ли смысл, что служба смены пароля не будет работать, пока работает служба аутентификации? Я понял, что kadmind обрабатывает оба, и, похоже, он работает. Я пробовал играть с конфигурацией. Я пробовал оставлять настройки kpasswd по умолчанию или явно устанавливать kpasswd_port на 464 в kdc.conf
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
restrict_anonymous_to_tgt = true
[realms]
...
kpasswd_port = 464
...
Есть идеи, в чем может быть причина или что мне следует попробовать дальше? У меня закончились идеи.
решение1
Я не смог заставить это работать на Ubuntu. Я перешел на Fedora 30 и не имел никаких проблем с настройкой.