rlm_krb5 Запись таблицы ключей не найдена - PullRequest
Новая
       8

rlm_krb5 Запись таблицы ключей не найдена

0 голосов
/ 21 сентября 2018

c Я работаю над использованием rlm_krb5 для радиуса 3.x на RHEL7. Однако у меня, похоже, возникают проблемы с использованием keytab.

Может быть, есть шаг настройки, возможно, с использованием пула?Может ли таблица ключей быть создана особым образом?

У меня есть:

  • проверен функционал 2.x config (на RHEL6)
  • проверен сервисprinicpal & keytab / w kinit & klog
  • проверенные разрешения для keytab и папок (750 grp = radiusd) обеспечивают доступ (640 работало при установке 2.x)
  • проверенный хост kdc в / etc / krb5.conf
  • найдено / usr / bin / libtool содержит deplibs_check_method = "pass all" (vs deplibs_test_method)
  • попытался закомментировать субстанцию ​​пула, чтобы конфигурация выглядела как 2.x config
  • попытался изменить владельца группы /etc/krb5.conf
  • попытался использовать keytab, сгенерированный из обеих систем RHEL6 и RHEL7
  • попытался удалить файл кэша / tmp / krb_mycache, используя kdestroy,и перезагрузка системы.(генерируется kinit)
  • попытался найти кэш приложения в / var /
  • попытался манипулировать принципом обслуживания и паролем, используемыми для keytab

Версии:

RHEL6

  • freeradius-2.2.6-7.el6_9.x86_64
  • freeradius-krb5-2.2.6-7.el6_9.x86_64
  • freeradius-utils-2.2.6-7.el6_9.x86_64

RHEL7

  • freeradius-krb5-3.0.13-9.el7_5.x86_64
  • freeradius-utils-3.0.13-9.el7_5.x86_64
  • freeradius-3.0.13-9.el7_5.x86_64

Отладочный вывод: 

>radiusd -X
FreeRADIUS Version 3.0.13
...
  # Loaded module rlm_krb5
  # Loading module "krb5" from file /etc/raddb/mods-enabled/krb5
  krb5 {
      keytab = "/etc/raddb/kerb/radius.keytab"
      service_principal = "radius/myhost.mydomain"
  }
...
Using MIT Kerberos library
rlm_krb5 (krb5): Using service principal "radius/myhost.mydomain@MYDOMAIN"
rlm_krb5 (krb5): Using keytab "FILE:/etc/raddb/kerb/radius.keytab"
rlm_krb5 (krb5): Initialising connection pool
   pool {
       start = 5
       min = 3
       max = 32
       spare = 10
       uses = 0
       lifetime = 0
       cleanup_interval = 30
       idle_timeout = 0
       retry_delay = 1
       spread = no
   }
rlm_krb5 (krb5): Opening additional connection (0), 1 of 32 pending slots used
rlm_krb5 (krb5): Opening additional connection (1), 1 of 31 pending slots used
rlm_krb5 (krb5): Opening additional connection (2), 1 of 30 pending slots used
rlm_krb5 (krb5): Opening additional connection (3), 1 of 29 pending slots used
rlm_krb5 (krb5): Opening additional connection (4), 1 of 28 pending slots used
...
Ready to process requests
(0) Received Access-Request Id 205 from MYIP1:60506 to MYIP2:1812 length >78
...
(0) Found Auth-Type = Kerberos
(0) # Executing group from file /etc/raddb/sites-enabled/default
(0)   Auth-Type Kerberos {
rlm_krb5 (krb5): Reserved connection (0)
(0) krb5: Using client principal "myuser@MYDOMAIN"
(0) krb5: Retrieving and decrypting TGT
(0) krb5: Attempting to authenticate against service principal
(0) krb5: ERROR: Error verifying credentials (-1765328339): No key table entry found for radius/myhost.mydomain@MYDOMAIN
rlm_krb5 (krb5): Released connection (0)
Need 5 more connections to reach 10 spares
rlm_krb5 (krb5): Opening additional connection (5), 1 of 27 pending slots used
(0)     [krb5] = fail
(0)   } # Auth-Type Kerberos = fail
(0) Failed to authenticate the user
(0) Using Post-Auth-Type Reject
...
Ready to process requests
^C

управление параметром service_principle в krb5:

service_principal = radius/myhost.mydomain@MYDOMAIN

(0) krb5: ERROR: Error verifying credentials (-1765328203): No key table entry found for radius/myhost.mydomain\@mydomain@MYDOMAIN

service_principal = неправильное_имя_о_принципа 

(0) krb5: ERROR: Error verifying credentials (-1765328203): No key table entry found for wrong_name_of_principle/myhost.mydomain@MYDOMAIN

service_principal = radius

1065 *

манипулирование неверным паролем в keytab с помощью правильного service_prinicple: 

(0) krb5: ERROR: Error verifying credentials (-1765328203): No key table entry found for radius/myhost.mydomain@MYDOMAIN

Проверка keytab: 

kinit -V -k -t ./radius.keytab  radius/myhost.mydomain
Using default cache: /tmp/krb_mycache
Using principal: radius/myhost.mydomain@MYDOMAIN
Using keytab: ./radius.keytab
Authenticated to Kerberos v5

klist  -k ./radius.keytab
Keytab name: FILE:./radius.keytab
KVNO Principal
 ---- --------------------------------------------------------------------------
   1 radius/myhost.mydomain@MYDOMAIN

Исследование кода ошибки:

ОшибкаСостояние d указывает на проблему с подключением к KDC. rlm_krb5 

fail The module was unable to connect to the Kerberos DC.

Приложение - Сообщения об ошибках Kerberos (krb5) Коды состояния Kerberos v5 

-1765328339 KRB5KRB_AP_ERR_NOKEY Service key not available

Сообщения об ошибках Kerberos и устранение неполадок 

Service key not available
Cause: The service ticket in the credentials cache may be incorrect.
Solution: Destroy current credential cache and rerun kinit before trying to use this service.
...