我按照标准文档分别在主机“SRV”和“CLT”上安装 FreeIPA 服务器和客户端。然后,我使用 Web UI 将用户“X”添加到 FreeIPA。现在,当我尝试将 X 作为 X SSH 到 CLT 时,出现'Permission denied, please try again.'错误。我在客户端上检查了“/var/log/messages”,并看到了这个 - '[sssd[krb5_child[3277]]]: Decrypt integrity check failed'。
我多次重置密码,但这并没有解决问题。然后我遇到了这些-
- http://www.cmf.nrl.navy.mil/krb/kerberos-faq.html#badpass
- https://groups.google.com/forum/#!topic/comp.protocols.kerberos/g-s76WeWyUU
听起来像是从 SRV 和 CLT 中删除“/etc/krb5.keytab”文件然后重新创建它们将解决问题。
- 我应该如何进行此密钥表重置?
- 我应该先从 FreeIPA 库存中取消配置/删除 CLT 吗?
您使用的是哪种 SSH 身份验证方法?您是在输入密码,还是尝试使用基于 Kerberos 票证的身份验证(gssapi-with-mic 或 gssapi-keyex)?
“解密完整性检查失败”消息可能来自两个来源。如果您给它提供了错误的密码(您的密码与 KDC 中您的委托人的密钥不匹配),您会得到它。如果你的密码没问题,你也会得到它,但是服务器上的 keytab 已经过时了;票证和密码验证都会发生这种情况(因为使用密码,服务器在执行 kinit 后为其自己的主机主体获取票证,以验证 KDC)。
客户端上的 keytab 无关紧要;这不是这种情况的一部分。这里可能的问题是服务器上的 keytab 与 KDC(Kerberos 身份验证服务器,或“密钥分发中心”,它是 FreeIPA 的一部分)不同步。使用 Kerberos,系统中的所有身份(或“主体”)都有与 KDC 共享的密钥。用户的密钥是从他的密码生成的。像 sshd 这样的软件服务的密钥是随机生成的,并存储在一个名为 keytab(用于“密钥表”)的文件中,以便服务可以访问它们。这听起来像是 SSH 主体的密钥在 KDC 中已更改,但密钥表尚未更新以匹配。您的主体名称的格式为 user@REALM。SSH 服务的主体名称的格式为主机/主机名@REALM。尝试:
... 将 SSH 服务主体的当前密钥提取到新的密钥表中。您可以使用
klist -ek <keytab>来查看新旧 keytab 的内容。如果您的密钥不匹配,它应该显示为具有不同密钥版本号(或“kvno”)的同一主体的密钥。您可能会看到如下内容:我也解决了这个问题。因为 ccache 包含以前安装的 IPA 服务器的旧密钥,只需要删除
/var/lib/sss/db/ccache_*文件票证中的更多详细信息: https ://fedorahosted.org/sssd/ticket/2781
有时,由于 DNS 或网络连接等原因,IPA 客户端无法在到期前检索更新主机密钥表。因此,可能需要手动更新 keytab 以使服务器重新与 IPA 同步。
在客户端上,登录
kinit以获取 KDC 上具有特权访问权限的用户的 kerberos 票证授予票证,以获取新的主机密钥表(管理员将工作)从 KDC 更新主机的密钥表,其中
ipahostname.mydomain.com是 IPA 服务器的完全限定域名host/[email protected]是领域hostipahostname.mydomain.com中的服务主体mydomain.com/etc/krb5.keytab是正在使用的系统密钥表的位置。此路径是许多安装的默认路径。成功完成后 - 重新启动 SSSd 以开始使用新的密钥表
在客户端我删除了 /etc/krb5.keytab 在服务器上我删除了主机 ipa host-del host.example.com
我卸载了 ipa 客户端软件。
我重新安装 ipa 客户端
但是,客户端不起作用。
最后,我不得不重新启动 ipa-server ipactl restart 并...
客户端工作正常。我想 kdc 服务器或类似的缓存中有一些关于客户端密钥的东西。
问候。