kpasswd не прослушивает порт 464

kpasswd не прослушивает порт 464

Недавно я сделал новую установку FreeIPA (ВЕРСИЯ: 4.6.90.pre1+git20180411, API_VERSION: 2.229) на Ubuntu 18.04 LTS. Учетные данные администратора работают нормально, я могу войти в веб-приложение, создание пользователей и аутентификация из клиентских веб-приложений работают. Аутентификация с клиентских машин в основном работает, но дает сбой при обновлении их пароля (в том числе после первоначального входа, когда запрашивается обновление пароля). Доменное имя сервера правильно прописано в /etc/hosts для каждой машины (DNS еще не настроил), а брандмауэр отключен.

Я пробовал kinit на самом сервере с похожим поведением. Аутентификация работает, но смена пароля не удаётся:

kinit: Невозможно связаться ни с одним KDC для запрошенной области при получении начальных учетных данных

У kpasswd та же проблема. Я отследил команду и получил это непосредственно перед сбоем:

[4730] 1563905746.373700: Sending initial UDP request to dgram 10.66.28.219:464
[4730] 1563905746.373701: Initiating TCP connection to stream 10.66.28.219:464
[4730] 1563905746.373702: Terminating TCP connection to stream 10.66.28.219:464

Порт 464, похоже, ни на что не отвечает и не обнаруживается nmap. 88 — единственный порт Kerberos, который находит nmap.

Я в основном новичок в kerberos. Имеет ли смысл, что служба смены пароля не будет работать, пока работает служба аутентификации? Я понял, что kadmind обрабатывает оба, и, похоже, он работает. Я пробовал играть с конфигурацией. Я пробовал оставлять настройки kpasswd по умолчанию или явно устанавливать kpasswd_port на 464 в kdc.conf

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88
 restrict_anonymous_to_tgt = true

[realms]
...
 kpasswd_port = 464
...

Есть идеи, в чем может быть причина или что мне следует попробовать дальше? У меня закончились идеи.

решение1

Я не смог заставить это работать на Ubuntu. Я перешел на Fedora 30 и не имел никаких проблем с настройкой.

Связанный контент