Discussion :

[ageofempiresz]

Bonjour,

J'ai un souci avec le démarrage des services Kerberos sous RedHat 8, je fourni le contexte "il y a un serveur qui fait office de Kerberos pour l'authentification et un autre qui fait serveur OpenLDAP pour l'annuaire. Les 2 serveurs ont la même version OS.

Voici les erreurs qui sont générées dans les logs côté serveur Kerberos :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
-- Le processus maître de la session est 27085.
mai 25 09:37:06 srv-kerberos.toto.tutu systemd[1]: Starting Kerberos 5 KDC...
-- Subject: L'unité (unit) krb5kdc.service a commencé à démarrer
-- Defined-By: systemd
-- Support: https://access.redhat.com/support
-- 
-- L'unité (unit) krb5kdc.service a commencé à démarrer.
mai 25 09:37:06 srv-kerberos.toto.tutu krb5kdc[27124]: krb5kdc: cannot initialize realm TOTO.TUTU - see log file for details
mai 25 09:37:06 srv-kerberos.toto.tutu systemd[1]: krb5kdc.service: Control process exited, code=exited status=1
mai 25 09:37:06 srv-kerberos.toto.tutu systemd[1]: krb5kdc.service: Failed with result 'exit-code'.
mai 25 09:37:06 srv-kerberos.toto.tutu systemd[1]: Failed to start Kerberos 5 KDC.
-- Subject: L'unité (unit) krb5kdc.service a échoué
-- Defined-By: systemd
-- Support: https://access.redhat.com/support
-- 
-- L'unité (unit) krb5kdc.service a échoué, avec le résultat RESULT.
mai 25 09:38:40 srv-kerberos.toto.tutu systemd[1]: Starting Kerberos 5 Password-changing and Administration...
-- Subject: L'unité (unit) kadmin.service a commencé à démarrer
-- Defined-By: systemd
-- Support: https://access.redhat.com/support
-- 
-- L'unité (unit) kadmin.service a commencé à démarrer.
mai 25 09:38:40 srv-kerberos.toto.tutu kadmind[27131]: kadmind: Unable to read Realm: Unable to access Kerberos database while initializing, aborting
mai 25 09:38:40 srv-kerberos.toto.tutu systemd[1]: kadmin.service: Control process exited, code=exited status=1
mai 25 09:38:40 srv-kerberos.toto.tutu systemd[1]: kadmin.service: Failed with result 'exit-code'.
mai 25 09:38:40 srv-kerberos.toto.tutu systemd[1]: Failed to start Kerberos 5 Password-changing and Administration.
-- Subject: L'unité (unit) kadmin.service a échoué
-- Defined-By: systemd
-- Support: https://access.redhat.com/support

J'ai effectué un ldapsearch depuis le serveur Kerberos et ça marche.

Mon problème viendrait peut-être de la configuration du fichier krb5.conf, mais pour moi elle semble correct

Fichier crypto-policies

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
[libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac

Fichier krb5.conf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
# To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
 
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
    default_realm = TOTO.TUTU
    default_ccache_name = KEYRING:persistent:%{uid}
 
[realms]
TOTO.TUTU = {
    kdc = srv-kerberos.toto.tutu
    admin_server = srv-kerberos.toto.tutu
    database_module = openldap_ldapconf
}
 
[domain_realm]
  .toto.tutu = TOTO.TUTU
  toto.tutu = TOTO.TUTU
 
[dbdefaults]
  ldap_kerberos_container_dn = cn=krbContainer,dc=titi,dc=lol,dc=test,dc=bob
 
[dbmodules]
  openldap_ldapconf = {
    db_library = kldap
    ldap_kdc_dn = "cn=admin,dc=titi,dc=lol,dc=test,dc=bob"
 
    # this object needs to have read rights on
    # the realm container, principal container and realm sub-trees
    ldap_kadmind_dn = "cn=admin,dc=titi,dc=lol,dc=test,dc=bob"
 
    # this object needs to have read and write rights on
    # the realm container, principal container and realm sub-trees
    ldap_service_password_file = /var/kerberos/krb5kdc/ldap.keyfile
    ldap_servers = ldap://srv-openldap.toto.tutu
  }

Si quelqu'un peut m'aide pour ce problème, car c'est nouveau pour moi la pratique du Kerberos.
Je précise que le 2 services Kerberos marchaient avant.

[ageofempiresz]

Cela venait d'un problème de objectclasses LDAP qui a été supprimé pour Kerberos, il faillait les rajouter.

J'ai pu remonter les services de Kerberos : krb5kdc.service et kadmin.service.