我按照 MIT Kerberos 5 说明更新了我的 Kerberos 5 服务器的主密钥。我重新启动了 kdc 和 kadmind 服务并使用 krb5-prop 将更改推送到其他服务器。
现在我无法从任何服务器连接到 kadmin,包括管理服务器:
$kadmin
Authenticating as principal jacob/[email protected] with password.
Password for jacob/[email protected]:
kadmin: GSS-API (or Kerberos) error while initializing kadmin interface
从我的搜索中,我发现造成这种情况的一个常见原因是时间同步问题,但机器在一秒钟内匹配,即使从运行 kadmind 的服务器也失败。
我不知道如何解决这个问题。我的 kadmind 版本没有我发现的任何类型的调试参数或详细的日志记录级别。我试过用 -nofork 从命令行运行它,那里很安静。
密码被接受。我可以将 kinit 作为目标原则,如果我输入的密码错误,它会告诉我。
kadmin: Incorrect password while initializing kadmin interface
如果 kadmind 服务没有运行,它也会给出不同的错误。
kadmin: Communication failure with server while initializing kadmin interface
在更新主密码之前我没有测试 kadmin,但是我最近使用它并且没有进行其他配置更改。我试过检查我的密钥版本号(kvno),它们似乎是正确的。
还有什么可能导致这种情况?我还能在哪里检查?如何调试 kadmind?
Debian 8,krb5-admin-server 1.12.1。