Bonjour,
J'ai un souci avec le démarrage des services Kerberos sous RedHat 8, je fourni le contexte "il y a un serveur qui fait office de Kerberos pour l'authentification et un autre qui fait serveur OpenLDAP pour l'annuaire. Les 2 serveurs ont la même version OS.
Voici les erreurs qui sont générées dans les logs côté serveur Kerberos :
J'ai effectué un ldapsearch depuis le serveur Kerberos et ça marche.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29 -- Le processus maître de la session est 27085. mai 25 09:37:06 srv-kerberos.toto.tutu systemd[1]: Starting Kerberos 5 KDC... -- Subject: L'unité (unit) krb5kdc.service a commencé à démarrer -- Defined-By: systemd -- Support: https://access.redhat.com/support -- -- L'unité (unit) krb5kdc.service a commencé à démarrer. mai 25 09:37:06 srv-kerberos.toto.tutu krb5kdc[27124]: krb5kdc: cannot initialize realm TOTO.TUTU - see log file for details mai 25 09:37:06 srv-kerberos.toto.tutu systemd[1]: krb5kdc.service: Control process exited, code=exited status=1 mai 25 09:37:06 srv-kerberos.toto.tutu systemd[1]: krb5kdc.service: Failed with result 'exit-code'. mai 25 09:37:06 srv-kerberos.toto.tutu systemd[1]: Failed to start Kerberos 5 KDC. -- Subject: L'unité (unit) krb5kdc.service a échoué -- Defined-By: systemd -- Support: https://access.redhat.com/support -- -- L'unité (unit) krb5kdc.service a échoué, avec le résultat RESULT. mai 25 09:38:40 srv-kerberos.toto.tutu systemd[1]: Starting Kerberos 5 Password-changing and Administration... -- Subject: L'unité (unit) kadmin.service a commencé à démarrer -- Defined-By: systemd -- Support: https://access.redhat.com/support -- -- L'unité (unit) kadmin.service a commencé à démarrer. mai 25 09:38:40 srv-kerberos.toto.tutu kadmind[27131]: kadmind: Unable to read Realm: Unable to access Kerberos database while initializing, aborting mai 25 09:38:40 srv-kerberos.toto.tutu systemd[1]: kadmin.service: Control process exited, code=exited status=1 mai 25 09:38:40 srv-kerberos.toto.tutu systemd[1]: kadmin.service: Failed with result 'exit-code'. mai 25 09:38:40 srv-kerberos.toto.tutu systemd[1]: Failed to start Kerberos 5 Password-changing and Administration. -- Subject: L'unité (unit) kadmin.service a échoué -- Defined-By: systemd -- Support: https://access.redhat.com/support
Mon problème viendrait peut-être de la configuration du fichier krb5.conf, mais pour moi elle semble correct
Fichier crypto-policies
Fichier krb5.conf
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2 [libdefaults] permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac
Si quelqu'un peut m'aide pour ce problème, car c'est nouveau pour moi la pratique du Kerberos.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48 # To opt out of the system crypto-policies configuration of krb5, remove the # symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated. includedir /etc/krb5.conf.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] dns_lookup_realm = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true rdns = false pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt spake_preauth_groups = edwards25519 default_realm = TOTO.TUTU default_ccache_name = KEYRING:persistent:%{uid} [realms] TOTO.TUTU = { kdc = srv-kerberos.toto.tutu admin_server = srv-kerberos.toto.tutu database_module = openldap_ldapconf } [domain_realm] .toto.tutu = TOTO.TUTU toto.tutu = TOTO.TUTU [dbdefaults] ldap_kerberos_container_dn = cn=krbContainer,dc=titi,dc=lol,dc=test,dc=bob [dbmodules] openldap_ldapconf = { db_library = kldap ldap_kdc_dn = "cn=admin,dc=titi,dc=lol,dc=test,dc=bob" # this object needs to have read rights on # the realm container, principal container and realm sub-trees ldap_kadmind_dn = "cn=admin,dc=titi,dc=lol,dc=test,dc=bob" # this object needs to have read and write rights on # the realm container, principal container and realm sub-trees ldap_service_password_file = /var/kerberos/krb5kdc/ldap.keyfile ldap_servers = ldap://srv-openldap.toto.tutu }
Je précise que le 2 services Kerberos marchaient avant.
Partager