Feilsøk Kerberos -godkjenning på Linux
Denne artikkelen tar opp noen av problemene du kan finne. Noen av problemene vi inkluderer her er:
- Problemer som oppstår fra systemoppsett
- Problemer som følge av klientverktøy og unnlatelse av å bruke eller administrere Kerberos -miljøet
- KDC -krypteringsproblemer
- Keytab -problemer
Feilsøking Linux Kerberos Systemoppsett og overvåkningsproblemer
Spesielt begynner problemene du kan møte med Linux Kerberos ofte fra installasjonsstadiet. Og den eneste måten du kan minimere installasjons- og overvåkningsproblemer er ved å følge disse trinnene:
Trinn 1: Forsikre deg om at du har en funksjonell Kerberos -protokoll som er riktig installert i begge maskinene.
Trinn 2: Synkroniser tiden på begge maskinene for å sikre at de kjører på en lignende tidsramme. Spesielt bruk nettverkstidssynkronisering (NTS) for å sikre at maskinene er innen 5 minutter fra hverandre.
Trinn 3: Sjekk om alle verter i Domain Network Service (DNS) har de riktige oppføringene. Mens du er på det, må du sørge for at hver oppføring i vertsfilen har relevante IP-adresser, vertsnavn og fullkvalifiserte domenenavn (FQDN). En god inngang skal se slik ut:
Feilsøking Linux Kerberos Client Utility Issues
Hvis du synes det er vanskelig å administrere klientverktøy, kan du alltid bruke følgende tre metoder for å løse problemene:
Metode 1: Bruke Klist -kommandoen
Klist -kommandoen vil hjelpe deg med å visualisere alle billetter i en hvilken. Når du har billettene, kan du videresende detaljene for å fullføre autentiseringsprosessen. En Klist -utgang for feilsøking av klientverktøy vil se slik ut:
Metode 2: Bruke Kinit -kommando for å sjekke for problemer på KDC -klient
Du kan også bruke Kinit -kommandoen for å bekrefte om du har problemer med KDC -verten og KDC -klienten. Kinit-verktøyet vil hjelpe deg med å skaffe og cache en billettstipend. Problemer med klientverktøy kan alltid være et resultat av et feil hovednavn eller et feil brukernavn.
Nedenfor er Kinit -syntaks for brukerens rektor:
Kommandoen ovenfor vil be om et passord da den oppretter en brukerstoff. Når du kjører kommandoen, må du forsikre deg om at du erstatter brukernavnet med en gyldig oppføring fra katalogen din.
På den annen side ligner Kinit -syntaks for tjenesteleder for detaljene i skjermbildet nedenfor. Merk at dette kan variere fra en vert til en annen:
Interessant nok vil Kinit -kommandoen for tjenestemedlen ikke be om passord siden den bruker Bracketed Key -fanen for å autentisere Service -rektoren.
Metode 3: Bruke Kinit -kommando for å sjekke SMP -problemer
Du kan også kjøre kommandoen nedenfor uavhengig av om kommandoen ovenfor fungerte eller ikke. Det hjelper til med å avgjøre om det er noen problemer med SMP -verten. Spesielt er dette mer brukbart når du tester Sever på e -post.selskap.com.
Kinit -kommandoen din vil ta strukturen nedenfor:
Metode 4: Bruke KTpass -kommandoen
Noen ganger kan problemet være et problem med passordene dine. For å finne ut at dette ikke er årsaken til Linux Kerberos -problemene dine, kan du bekrefte KTPass -verktøyversjonen din.
Feilsøking av KDC -støtteproblemer
Kerberos kan ofte mislykkes på grunn av en rekke problemer. Men noen ganger kan problemene være resultatet av KDC -krypteringsstøtte. Spesielt vil et slikt problem bringe meldingen nedenfor:
Gjør følgende i tilfelle du mottar meldingen ovenfor:
- Kontroller om KDC -innstillingsblokken din eller begrenser noen krypteringstyper
- Bekreft om serverkontoen din har alle krypteringstypene som er sjekket.
Feilsøking av keytab -problemer
Du kan ta følgende trinn hvis du møter noen viktige faneproblemer:
Trinn 1: Kontroller at både plasseringen og navnet på tastenes fanefilen for verten ligner detaljene i KRB5.Conf -fil.
Trinn 2: Kontroller om verts- og klientserverne har hovednavn.
Trinn 3: Bekreft krypteringstypen før du oppretter en nøkkelfanefil.
Trinn 4: Kontroller gyldigheten av tast -fanen -filen ved å kjøre Kinit -kommandoen nedenfor;
Kommandoen ovenfor skal returnere ingen feil hvis du har en gyldig tastfilfil. Men i tilfelle en feil, kan du bekrefte gyldigheten av SPN ved å bruke denne kommandoen:
Ovennevnte verktøyet vil be deg om å taste inn passordet ditt. Unnlatelse av å be om et passord innebærer at SPN -en din er ugyldig eller uidentifiserbar. Når du har tastet inn et gyldig passord, vil ikke kommandoen returnere noen feil.
Ovennevnte er noen vanlige problemer du kan møte når du konfigurerer eller autentiserer med Linux Kerberos. Denne oppskrivningen inneholder også mulige løsninger for hvert av problemene du kan møte.