Resolución de problemas de Kerberos

En esta sección se proporciona información acerca de la resolución de problemas del software Kerberos.

Cómo identificar problemas con números de versión de clave

A veces, el número de versión de clave (KVNO) utilizado por el KDC y las claves de principal de servicio almacenadas en /etc/krb5/krb5.keytab para servicios alojados en el sistema no coinciden. El KVNO puede salir de sincronización cuando un nuevo conjunto de claves se crea en el KDC sin actualizar el archivo keytab con las nuevas claves. Este problema se puede diagnosticar mediante el siguiente procedimiento.

Enumere las entradas keytab.

Tenga en cuenta que el KVNO para cada principal se incluye en la lista.

# klist -k 
Keytab name: FILE:/etc/krb5/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   2 host/denver.example.com@EXAMPLE.COM
   2 host/denver.example.com@EXAMPLE.COM
   2 host/denver.example.com@EXAMPLE.COM
   2 nfs/denver.example.com@EXAMPLE.COM
   2 nfs/denver.example.com@EXAMPLE.COM
   2 nfs/denver.example.com@EXAMPLE.COM
   2 nfs/denver.example.com@EXAMPLE.COM

Adquiera una credencial inicial mediante la clave host.
```
# kinit -k
```
Determine el KVNO que KDC utiliza.
```
# kvno nfs/denver.example.com
nfs/denver.example.com@EXAMPLE.COM: kvno = 3
```
Tenga en cuenta que el KVNO que se muestran aquí es 3 en lugar de 2.

Problemas con el formato del archivo `krb5.conf`

Si el archivo krb5.conf no tiene el formato correcto, es posible que se muestre el siguiente mensaje de error en una ventana de terminal o se registre en el archivo de registro:

Improper format of Kerberos configuration file while initializing krb5 library

Si hay un problema con el formato del archivo krb5.conf, los servicios asociados podrían quedar vulnerables a ataques. Debe solucionar el problema antes de permitir que se utilicen funciones de Kerberos.

Problemas al propagar la base de datos de Kerberos

Si la propagación de la base de datos de Kerberos falla, pruebe /usr/bin/rlogin -x entre el KDC esclavo y el KDC maestro, y del KDC maestro al servidor KDC esclavo.

Si los KDC se han configurado para restringir el acceso, rlogin está deshabilitado y no se puede utilizar para solucionar este problema. Para activar rlogin en un KDC, debe activar el servicio eklogin.

# svcadm enable svc:/network/login:eklogin

Una vez solucionado el problema, necesita desactivar el servicio eklogin.

Si rlogin no funciona, es posible que los problemas se deban a los archivos keytab en los KDC. Si rlogin funciona, el problema no está en el archivo keytab ni en el servicio de nombres, porque rlogin y el software de propagación utilizan el mismo principal host/host-name. En este caso, asegúrese de que el archivo kpropd.acl sea correcto.

Problemas al montar un sistema de archivos NFS Kerberizado

Si el montaje de un sistema de archivos NFS Kerberizado falla, asegúrese de que el archivo /var/rcache/root exista en el servidor NFS. Si el sistema de archivos no es propiedad de root, elimínelo e intente el montaje nuevamente.
Si tiene un problema al acceder a un sistema de archivos NFS Kerberizado, asegúrese de que el servicio gssd esté habilitado en el sistema y el servidor NFS.
Si ve el mensaje de error invalid argument o bad directory cuando intenta acceder a un sistema de archivos NFS Kerberizado, posiblemente el problema sea que no utiliza un nombre DNS completo cuando intenta montar el sistema de archivos NFS. El host que se monta no es el mismo que el nombre de host parte del principal de servicio en el archivo keytab del servidor.

Este problema también puede ocurrir si el servidor tiene varias interfaces Ethernet y ha configurado DNS para que utilice un esquema "nombre por interfaz" en lugar de un esquema "varios registros de dirección por host". Para el servicio Kerberos, debe configurar varios registros de dirección por host como se indica a continuación Ken Hornstein, “Kerberos FAQ,” [http://www.cmf.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html#kerbdns], se accedió el 10 de marzo de 2010.:
```
my.host.name.   A       1.2.3.4
                A       1.2.4.4
                A       1.2.5.4

my-en0.host.name.       A       1.2.3.4
my-en1.host.name.       A       1.2.4.4
my-en2.host.name.       A       1.2.5.4

4.3.2.1         PTR     my.host.name.
4.4.2.1         PTR     my.host.name.
4.5.2.1         PTR     my.host.name.
```

En este ejemplo, la configuración permite una referencia a las diferentes interfaces y a un único principal de servicio en lugar de tres principales de servicio en el archivo keytab del servidor.

Problemas de autenticación como usuario `root`

Si falla la autenticación cuando intenta convertirse en superusuario en el sistema y ya ha agregado el principal root al archivo keytab del host, hay dos posibles problemas que debe comprobar. En primer lugar, asegúrese de que el principal root en el archivo keytab tenga un nombre de host completo como su instancia. Si es así, compruebe el archivo /etc/resolv.conf para asegurarse de que el sistema esté correctamente configurado como un cliente DNS.

Observación de asignación de credenciales GSS a credenciales UNIX

Para poder supervisar las asignaciones de credenciales, primero elimine el comentario de esta línea del archivo /etc/gss/gsscred.conf.

SYSLOG_UID_MAPPING=yes

Luego, indique al servicio gssd que obtenga información del archivo /etc/gss/gsscred.conf.

# pkill -HUP gssd

Ahora debería poder controlar las asignaciones de credenciales a medida que gssd las solicita. Las asignaciones son registradas por syslogd si el archivo syslog.conf está configurado para la utilidad de sistema auth con el nivel de gravedad debug.

Omitir V�nculos de navegaci�n
Salir de la Vista de impresi�n
	Administración de Oracle Solaris: servicios de seguridad Oracle Solaris 11 Information Library (Español)