我正在向运行 NetworkManager 的 CentOS 8 服务器添加辅助 IP。我以前会使用ifcfg样式的配置文件来完成此操作,但我正在尝试拥抱未来和 RHEL/CentOS 设定的方向。不幸的是,这并没有按照我的预期进行。
我所期待的是一个新的以太网接口。想要这个的原因是,它允许我将不同的服务绑定到不同的 IP,可能在同一个端口上。这不是什么新鲜事,它在以前版本的 CentOS 中“只是适用于”像ifcfg-eth0:1这样的文件。现在,我的ifcfg-eth0:1别名文件要么被完全忽略,要么导致将额外的 IP 添加到主接口。到目前为止,还没有任何方法创建额外的网络接口。
我现在的问题是:这在 CentOS8 中是否真的可能而无需恢复到网络脚本?将服务绑定到特定网络接口的概念是否已成为过去?
docker-ce我刚刚在 CentOS 上安装了最新版本,但我无法从相邻服务器访问已发布的端口,也无法从容器本身到达外部。
运行启用了 NetworkManager 和 FirewallD 的普通 CentOS 8。默认防火墙区域是public.
版本:
docker-ce19.03.3(官方 Docker RPM)containerd.io1.2.6(CentOS 7 的官方 Docker RPM - CentOS 8 尚不可用)
我正在尝试对 Apache 服务器进行 Kerberize,并允许创建的服务器主体登录到 Active Directory。我遵循了在线提供的众多教程之一,它似乎工作正常。我在项目的 Linux 端,企业 IT 在 Windows 端。
IT 为我提供了一个服务帐户和一个服务主体。在本例中,我将其称为 HTTP/mysite.mycorp.com@MYCORP.COM。他们为我提供了该主体的密钥表文件,其中涉及在 AD 服务器上运行一个名为 ktpass.exe 的工具。
我已验证 AD/KDC 的 KVNO 和 keytab 文件匹配。一切都很好。
主机名有适当的 DNS A 记录,IP 有适当的 PTR 记录。两台服务器时间同步。
我可以使用已发布的 keytab 文件从 AD/KDC 请求上述服务主体的票证,如下所示:
kinit -k -t http.keytab HTTP/mysite.mycorp.com@MYCORP.COM
这行得通。我获得了一张票,我可以将这张票用于查询 AD/LDAP 目录之类的事情。keytab 也适用于运行 Single Signon Apache 站点,这也是本练习的部分目标。
半个小时过去了。
现在尝试使用上述 kinit 命令登录失败并显示以下消息:
Client not found in Kerberos database
我无法作为服务主体进行身份验证,就像在 AD 服务器上删除了主体一样。
现在它变得很奇怪,至少对我来说:
根据请求,AD 管理员再次运行 ktpass.exe 工具,为我的服务构建一个新的 keytab 文件。KVNO(密钥版本号)在服务器上增加,导致我们的 Apache 测试服务器停止验证 Kerberos 单点登录。这是我目前的配置所预期的。令我们所有人惊讶的是,现在 kinit 命令再次起作用了。我们又给自己买了半个小时,然后它又停止了工作。
我们的 IT 部门在这里不知所措,他们推测这是 AD 服务器本身的问题。我认为这是配置,但根据他们的说法,他们的设置中没有半小时的限制。
我已经关注了http://www.grolmsnet.de/kerbtut/(参见第 7 节),但在我找到的所有文档中,该方法似乎都是相同的。我没有找到任何关于服务主体时间限制的参考。
编辑:这似乎是一个复制问题。尽管在复制过程中没有报告错误,但服务帐户的 SPN 值已从“HTTP/mysite.mycorp.com@MYCORP.COM”更改(恢复?)为“name-of-service-account@mycorp.com” " 30 分钟后。