Dépanner l'authentification de Kerberos sur Linux
Cet article aborde certains des problèmes que vous pouvez trouver. Certains des problèmes que nous incluons ici sont:
- Problèmes résultant de la configuration du système
- Problèmes résultant des services publics des clients et ne pas utiliser ou gérer l'environnement Kerberos
- Problèmes de cryptage KDC
- Problèmes de clés
Dépannage des problèmes de configuration et de surveillance du système Linux Kerberos
Notamment, les problèmes auxquels vous pouvez rencontrer avec Linux Kerberos commencent souvent à partir de l'étape de configuration. Et la seule façon de minimiser les problèmes de configuration et de surveillance est de suivre ces étapes:
Étape 1: Assurez-vous que vous avez correctement installé un protocole de Kerberos fonctionnel dans les deux machines.
Étape 2: Synchronisez l'heure sur les deux machines pour s'assurer qu'elles fonctionnent sur un délai similaire. Notamment, utilisez la synchronisation du temps du réseau (NTS) pour vous assurer que les machines sont à moins de 5 minutes les unes des autres.
Étape 3: Vérifiez si tous les hôtes du service de réseau de domaine (DNS) ont les entrées correctes. Alors que là, assurez-vous que chaque entrée du fichier hôte dispose d'adresses IP pertinentes, de noms d'hôtes et de noms de domaine entièrement qualifiés (FQDN). Une bonne entrée devrait ressembler à ceci:
Dépannage des problèmes d'utilité du client Linux Kerberos
Si vous avez du mal à gérer les services publics des clients, vous pouvez toujours utiliser les trois méthodes suivantes pour résoudre les problèmes:
Méthode 1: Utilisation de la commande klist
La commande klist vous aidera à visualiser tous les billets dans n'importe quel cache d'identification ou les clés dans le fichier d'onglet Key. Une fois que vous avez les billets, vous pouvez transmettre les détails pour terminer le processus d'authentification. Une sortie KList pour le dépannage des utilitaires des clients ressemblera à ceci:
Méthode 2: Utilisation de la commande kinit pour vérifier les problèmes sur le client KDC
Vous pouvez également utiliser la commande kinit pour confirmer si vous avez des problèmes avec votre hôte KDC et votre client KDC. L'utilitaire Kinit vous aidera à obtenir et à mettre en cache un billet d'accueil de billets pour le directeur du service et l'utilisateur. Les problèmes d'utilité du client peuvent toujours résulter d'un mauvais nom principal ou d'un mauvais nom d'utilisateur.
Vous trouverez ci-dessous la syntaxe kinit pour le principal utilisateur:
La commande ci-dessus provoquera un mot de passe car il crée un principal utilisateur. Lorsque vous exécutez la commande, assurez-vous de remplacer le nom d'utilisateur par une entrée valide de votre répertoire.
D'un autre côté, la syntaxe Kinit pour le principal de service est similaire aux détails de la capture d'écran ci-dessous. Notez que cela peut varier d'un hôte à un autre:
Fait intéressant, la commande kinit pour le directeur de service n'invitera aucun mot de passe car il utilise le fichier d'onglet de clé croqueté pour authentifier le directeur du service.
Méthode 3: Utilisation de la commande kinit pour vérifier les problèmes SMP
Vous pouvez également exécuter la commande ci-dessous, que la commande de kit ci-dessus fonctionnait ou non. Il aide à déterminer s'il y a des problèmes avec l'hôte SMP. Notamment, cela est plus utilisable lorsque vous testez votre séparation par courrier.entreprise.com.
Votre commande kinit prendra la structure ci-dessous:
Méthode 4: Utilisation de la commande ktpass
Parfois, le problème pourrait être un problème avec vos mots de passe. Pour vérifier que ce n'est pas la cause de vos problèmes Linux Kerberos, vous pouvez vérifier votre version utilitaire KTPass.
Dépannage des problèmes de support KDC
Kerberos peut souvent échouer en raison d'un éventail de problèmes. Mais parfois, les problèmes pourraient résulter du support de cryptage KDC. Notamment, un tel problème apportera le message ci-dessous:
Effectuez ce qui suit au cas où vous recevez le message ci-dessus:
- Vérifiez si vos paramètres KDC bloquent ou restreignent les types de chiffrement
- Confirmez si votre compte de serveur a tous les types de cryptage vérifiés.
Dépannage des problèmes de clés
Vous pouvez prendre les mesures suivantes si vous rencontrez des problèmes d'onglet clé:
Étape 1: Vérifiez que l'emplacement et le nom du fichier d'onglet clé pour l'hôte sont similaires aux détails de KRB5.fichier de confr.
Étape 2: Vérifiez si les serveurs hôte et client ont des noms principaux.
Étape 3: Confirmez le type de chiffrement avant de créer un fichier d'onglet clé.
Étape 4: Vérifiez la validité du fichier de l'onglet clé en exécutant la commande kinit ci-dessous;
La commande ci-dessus ne doit renvoyer aucune erreur si vous avez un fichier d'onglet de clé valide. Mais en cas d'erreur, vous pouvez vérifier la validité du SPN à l'aide de cette commande:
L'utilitaire ci-dessus vous invitera à clé dans votre mot de passe. Le non-demande d'un mot de passe implique que votre SPN n'est pas valide ou non identifiable. Une fois que vous avez clé dans un mot de passe valide, la commande ne renvoie aucune erreur.
Ce qui précède sont quelques problèmes courants que vous pourriez rencontrer lors de la configuration ou de l'authentification avec Linux Kerberos. Cet article contient également les solutions possibles pour chacun des problèmes auxquels vous pourriez être confronté.