我最近在 Ubuntu 18.04 LTS 上全新安裝了 FreeIPA(版本:4.6.90.pre1+git20180411,API_版本:2.229)。管理員憑證工作正常,我可以正常登入 Web 應用程序,建立使用者並從客戶端 Web 應用程式進行身份驗證。從客戶端電腦進行身份驗證大多數情況下有效,但在更新密碼時會失敗(包括在首次登入後請求密碼更新時)。伺服器的網域名稱已正確硬編碼在每台電腦的 /etc/hosts 中(尚未設定 DNS),且防火牆已停用。
我在伺服器本身上嘗試過 kinit ,具有類似的行為。身份驗證有效,但密碼變更失敗:
kinit:在取得初始憑證時無法聯絡請求領域的任何 KDC
kpasswd 也有同樣的問題。我跟踪了命令並在失敗之前立即得到了這個:
[4730] 1563905746.373700: Sending initial UDP request to dgram 10.66.28.219:464
[4730] 1563905746.373701: Initiating TCP connection to stream 10.66.28.219:464
[4730] 1563905746.373702: Terminating TCP connection to stream 10.66.28.219:464
連接埠 464 似乎沒有回應任何內容,也沒有被 nmap 接收。 88 是 nmap 找到的唯一 Kerberos 連接埠。
我基本上是 kerberos 的新手。當身份驗證服務運行時,密碼更改服務不會運行,這是否有意義?我的理解是 kadmind 處理這兩者,而且它似乎確實在運行。我嘗試過使用配置。我嘗試將 kpasswd 設定保留為預設值,或在 kdc.conf 中明確將 kpasswd_port 設定為 464
[kdcdefaults]
kdc_ports = 88
kdc_tcp_ports = 88
restrict_anonymous_to_tgt = true
[realms]
...
kpasswd_port = 464
...
關於原因可能是什麼或我下一步應該嘗試什麼有什麼想法嗎?我已經沒有主意了。
答案1
我無法在 Ubuntu 上運行它。我切換到 Fedora 30 並且設定沒有問題。