Вчера все пакеты Kerberos в моих сборках контейнеров были обновлены до версии 1.18.2-5.el8, а версия 1.17-18.el8 больше недоступна.
Это вызывает серьезные проблемы на серверах.
Наши связи все показывают
Pre-authentication failed: No key table entry found for user@domain
Спасибо.
решение1
Вы выполнили обновление до CentOS 8.3, включающего обновленную версию Kerberos.
Цитата изЗаметки о выпуске RHEL 8.3:
krb5 перебазирован до версии 1.18.2
Пакеты krb5 были обновлены до версии 1.18.2. Известные исправления и улучшения включают:
- Удалены типы шифрования с одним и тремя DES.
- Проект 9 PKINIT был удален, поскольку он не нужен ни для одной из поддерживаемых версий Active Directory.
- Теперь поддерживаются плагины механизма NegoEx.
- Теперь поддерживается откат канонизации имени хоста (dns_canonicalize_hostname = fallback).
(БЗ#1802334)
Вы не сказали, какие у вас проблемы (а они должны быть!). Но я предполагаю на основе опыта, что у вас в среде все еще есть старые штуки, которые использовали 3DES или DES. Конечно, все эти штуки должны были быть перенастроены, обновлены или выведены из эксплуатации много лет назад. Поскольку никто этого не сделал, сейчас самое время это сделать.
решение2
Это решило все наши проблемы: http://plosquare.blogspot.com/2013/01/solution-for-key-table-entry-not-found.html
В частности, мы добавили
default_tkt_enctypes = arcfour-hmac-md5
default_tgs_enctypes = arcfour-hmac-md5
к/etc/krb5.conf