Kerberos 疑难解答
krb5.conf 文件的格式存在问题
如果 krb5.conf 文件的格式不正确,telnet 命令将会失败。但是,dtlogin 和 login 命令仍将成功,即使按这些命令的要求指定 krb5.conf 文件也是如此。如果出现此问题,则会显示以下错误消息:
Error initializing krb5: Improper format of Kerberos configuration |
此外,格式不正确的 krb5.conf 文件还会阻止使用 GSSAPI 的应用程序使用 krb5 机制。
如果 krb5.conf 文件的格式存在问题,则安全性很容易受到破坏。您应首先解决该问题,然后再允许使用 Kerberos 功能。
传播 Kerberos 数据库时出现问题
如果传播 Kerberos 数据库失败,请在从 KDC 与主 KDC 之间尝试使用 /usr/bin/rlogin -x,反之亦然。
如果 KDC 已设置为限制访问,则会禁用 rlogin,因此无法使用它来解决此问题。要在 KDC 上启用 rlogin,必须启用 eklogin 服务。
# svcadm enable svc:/network/login:eklogin |
解决此问题后,需要禁用 eklogin 服务。
如果 rlogin 无法运行,则可能是因为 KDC 上的密钥表文件存在问题。如果 rlogin 可以运行,则问题不在于密钥表文件或名称服务,因为 rlogin 和传播软件使用相同的 host/host-name 主体。在这种情况下,请确保 kpropd.acl 文件正确。
挂载基于 Kerberos 的 NFS 文件系统时出现问题
-
如果挂载基于 Kerberos 的 NFS 文件系统失败,请确保 NFS 服务器上存在 /var/rcache/root 文件。如果该文件系统不属于 root,请将其删除并再次尝试挂载。
-
如果访问基于 Kerberos 的 NFS 文件系统时出现问题,请确保系统和 NFS 服务器上启用了 gssd 服务。
-
如果在尝试访问基于 Kerberos 的 NFS 文件系统时出现 invalid argument 或 bad directory 错误消息,则可能是因为在尝试挂载 NFS 文件系统时未使用全限定 DNS 名称。正在挂载的主机与服务器的密钥表文件中的服务主体的主机名部分不相同。
如果服务器有多个以太网接口,并且已将 DNS 设置为使用“每个接口一个名称”的方案,而不是“每台主机多条地址记录”的方案,则也可能会出现此问题。对于 Kerberos 服务,应为每台主机设置多条地址记录,如下所示 [Ken Hornstein,"Kerberos FAQ",[http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html],访问时间:1998 年 12 月 11 日。] :
my.host.name. A 1.2.3.4 A 1.2.4.4 A 1.2.5.4 my-en0.host.name. A 1.2.3.4 my-en1.host.name. A 1.2.4.4 my-en2.host.name. A 1.2.5.4 4.3.2.1 PTR my.host.name. 4.4.2.1 PTR my.host.name. 4.5.2.1 PTR my.host.name.
在本示例中,此设置允许引用服务器的密钥表文件中的不同接口和一个服务主体(而非三个服务主体)一次。
以 root 身份进行验证时出现问题
如果在尝试成为系统超级用户时验证失败,并且已将 root 主体添加到主机的密钥表文件中,则需要检查两个可能的问题。首先,请确保密钥表文件中的 root 主体具有一个全限定主机名作为其实例。如果具有该名称,请检查 /etc/resolv.conf 文件,以确保系统已正确设置为 DNS 客户机。
观察从 GSS 凭证到 UNIX 凭证的映射
为了可以监视凭证映射,请首先在 /etc/gss/gsscred.conf 文件中取消对以下行的注释。
SYSLOG_UID_MAPPING=yes |
然后,指示 gssd 服务从 /etc/gss/gsscred.conf 文件中获取信息。
# pkill -HUP gssd |
现在,您应该可以在 gssd 请求凭证映射时对其进行监视。如果针对 auth 系统功能将 syslog.conf 文件设置为 debug 严重级别,则可通过 syslogd 记录这些映射。
- © 2010, Oracle Corporation and/or its affiliates