Fehlerbehebung Kerberos Authentifizierung unter Linux

Wie viele andere Authentifizierungsprotokolle können Sie häufig Probleme haben, Linux zu konfigurieren, um sich mit Kerberos zu authentifizieren. Natürlich variieren Probleme immer je nach Authentifizierungsphase.

Dieser Artikel befasst sich mit einigen der Probleme, die Sie möglicherweise finden. Einige der Probleme, die wir hier aufnehmen, sind:

• Probleme, die sich aus der Systemeinrichtung ergeben
• Probleme, die sich aus Kundenversorger ergeben und die Kerberos -Umgebung nicht nutzen oder verwaltet
• KDC -Verschlüsselungsprobleme
• Keytab -Probleme

Fehlerbehebung bei Linux -Kerberos -System -Setup- und Überwachungsproblemen

Insbesondere beginnen die Probleme, mit denen Sie mit Linux -Kerberos konfrontiert sind. Die einzige Möglichkeit, Probleme mit der Einrichtung und Überwachung zu minimieren, besteht darin, diese Schritte zu befolgen:

Schritt 1: Stellen Sie sicher.

Schritt 2: Synchronisieren Sie die Zeit für beide Maschinen, um sicherzustellen, dass sie in einem ähnlichen Zeitrahmen ausgeführt werden. Verwenden Sie insbesondere die Netzwerkzeitsynchronisation (NTS), um sicherzustellen, dass die Maschinen innerhalb von 5 Minuten voneinander liegen.

Schritt 3: Überprüfen Sie, ob alle Hosts im Domain Network Service (DNS) die richtigen Einträge haben. Stellen Sie dabei sicher, dass jeder Eintrag in der Hostdatei relevante IP-Adressen, Hostnamen und vollständig qualifizierte Domainnamen (FQDN) enthält (FQDN). Ein guter Eintrag sollte so aussehen:

Fehlerbehebung bei Linux Kerberos Client -Dienstproblemen

Wenn Sie es schwierig finden, Kunden -Dienstprogramme zu verwalten, können Sie immer die folgenden drei Methoden verwenden, um die Probleme zu lösen:

Methode 1: Verwenden Sie den Befehl klist

Mit dem Befehl kList können Sie alle Tickets in einem Cache für Anmeldeinformationen oder in den Tasten in der Registerkarte Taste visualisieren. Sobald Sie die Tickets haben, können Sie die Details weiterleiten, um den Authentifizierungsprozess abzuschließen. Eine KLIST -Ausgabe für die Fehlerbehebung von Client -Dienstprogrammen sieht folgt aus:

Methode 2: Verwenden Sie den Befehl Kinit, um Probleme auf dem KDC -Client zu überprüfen

Sie können auch den Befehl kinit verwenden, um zu bestätigen, ob Sie Probleme mit Ihrem KDC -Host und KDC -Client haben. Das Kinit-Dienstprogramm hilft Ihnen dabei. Die Probleme mit dem Kunden von Kunden können immer aus einem falschen Hauptnamen oder einem falschen Benutzernamen resultieren.

Nachfolgend finden Sie die Kinit -Syntax für den Benutzer -Principal:

Der obige Befehl fordert ein Passwort auf. Stellen Sie beim Ausführen des Befehls sicher, dass Sie den Benutzernamen durch einen gültigen Eintrag aus Ihrem Verzeichnis ersetzen.

Andererseits ähnelt die Kinit -Syntax für den Service Principal den Details im folgenden Screenshot. Beachten Sie, dass dies von einem Host zum anderen variieren kann:

Interessanterweise fordert der Befehl Kinit für den Service Principal keine Passwörter auf.

Methode 3: Verwenden von Kinit -Befehl zur Überprüfung der SMP -Probleme

Sie können auch den folgenden Befehl ausführen, unabhängig davon, ob der obige Kit -Befehl funktioniert hat oder nicht. Es hilft festzustellen, ob es Probleme mit dem SMP -Host gibt. Insbesondere ist dies bei der Prüfung Ihres Abspanners auf Mail nutzbarer.Unternehmen.com.

Ihr Kinit -Befehl nimmt die folgende Struktur an:

Methode 4: Verwenden des KTPass -Befehls

Manchmal kann das Problem ein Problem mit Ihren Passwörtern sein. Um festzustellen, dass dies nicht die Ursache für Ihre Linux -Kerberos -Probleme ist, können Sie Ihre KTPass -Dienstprogrammversion überprüfen.

Fehlerbehebung bei KDC -Unterstützungsproblemen

Kerberos kann aufgrund einer Reihe von Problemen oft scheitern. Aber manchmal können die Probleme aus der Unterstützung der KDC -Verschlüsselung resultieren. Insbesondere wird ein solches Problem die folgende Nachricht bringen:

Führen Sie Folgendes aus, falls Sie die oben genannte Nachricht erhalten:

• Überprüfen Sie, ob Ihre KDC -Einstellungen Verschlüsselungsarten blockieren oder einschränken
• Bestätigen Sie, ob Ihr Serverkonto alle Verschlüsselungstypen überprüft hat.

Fehlerbehebung bei Keytab -Problemen

Sie können die folgenden Schritte ausführen, wenn Sie auf wichtige Registerkartenprobleme stoßen:

Schritt 1: Überprüfen.Conf -Datei.

Schritt 2: Überprüfen Sie, ob die Host- und Client -Server Hauptnamen haben.

Schritt 3: Bestätigen Sie den Verschlüsselungstyp, bevor Sie eine Registerkartendatei erstellen.

Schritt 4: Überprüfen Sie die Gültigkeit der Registerkartendatei der Schlüssel, indem Sie den folgenden Kinit -Befehl ausführen

Der obige Befehl sollte keinen Fehler zurückgeben, wenn Sie eine gültige Registerkartendatei haben. Bei einem Fehler können Sie jedoch die Gültigkeit des SPN mit diesem Befehl überprüfen:

Das obige Dienstprogramm fordert Sie auf, in Ihrem Passwort zu Schlüssel. Wenn nicht nach einem Passwort gefragt wird, bedeutet dies, dass Ihr SPN ungültig oder nicht identifizierbar ist. Sobald Sie ein gültiges Kennwort tasten, gibt der Befehl keinen Fehler zurück.

Die oben genannten sind einige häufige Probleme, auf die Sie beim Konfigurieren oder Authentifizieren mit Linux -Kerberos auftreten können. Diese Beschreibung enthält auch die möglichen Lösungen für jedes der Probleme, mit denen Sie möglicherweise konfrontiert sind.