Toon posts:

Problemen met opzetten Kerberos V

Pagina: 1
Acties:

woensdag 12 mei 2004 17:54

Acties:
  • imdos
  • Registratie: Maart 2000
  • Laatst online: 09:45

imdos

I use FreeNAS and Ubuntu

Topicstarter
OS: Slackware 8.1 (tevens getest op Slack 9.1)

compile opties:
code:
1

./configure --prefix=/usr --enable-shared --localstatedir=/etc --mandir=/usr/share/man --sysconfdir=/etc

Ik volg feitelijk gewoon de howto

krb5.conf
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

<libdefaults>
default_realm = IMDOS.ATH.CX
clockskew = 300
default_tgs_enctypes = des-cbc-md5 des3-hmac-sha1 des-cbc-crc
default_tkt_enctypes = des-cbc-md5 des3-hmac-sha1 des-cbc-crc
permitted_enctypes = des-cbc-md5 des3-hmac-sha1 des-cbc-crc
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
 
<realms>
IMDOS.ATH.CX = {
                kdc = server.imdos.ath.cx:88
                admin_server = server.imdos.ath.cx:749
        }

<domain_realm>
.imdos.ath.cx = IMDOS.ATH.CX
 
<logging>
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmin.log
default = FILE:/var/log/kerberos/krb5lib.log
 
<login>
krb4_convert = false
krb4_get_tickets = false

relevante info dns: imdos.ath.cx.db
code:
1
2
3
4
5
6
7

ldap                    CNAME   server.imdos.ath.cx.
kerberos                CNAME   server.imdos.ath.cx.
_kerberos               IN      TXT     "IMDOS.ATH.CX"
_kerberos-master._udp   IN      SRV     0 0 88  server.imdos.ath.cx.
_kerberos-adm._tcp      IN      SRV     0 0 749  server.imdos.ath.cx.
_kpasswd._udp           IN      SRV     0 0 464  server.imdos.ath.cx.
_ldap._tcp.imdos.ath.cx IN      SRV     0 0 389  server.imdos.ath.cx.

kdc.conf
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

[kdcdefaults]
   kdc_ports = 750,88
 
[realms]
   IMDOS.ATH.CX = {
      kdc_ports = 750,88
      max_life = 10h 0m 0s
      max_renewable_life = 7d 0h 0m 0s
      database_name = /etc/krb5kdc/principal
      admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
      acl_file = /etc/krb5kdc/kadm5.acl
      key_stash_file = /etc/krb5kdc/.k5.
   }
 
[logging]
   kdc = FILE:/var/log/kdc.log
   admin_server = FILE:/var/log/kadmin.log


kadm5.acl
code:
1
2
3
4
5

kadmin/admin@IMDOS.ATH.CX       *
root/admin@IMDOS.ATH.CX         *
imdos@IMDOS.ATH.CX              *
krbadm@IMDOS.ATH.CX             *
*/*@IMDOS.ATH.CX                i


Bij kadmin.local, kdb5_util en de andere programma's krijg ik constant dit :

-------------------------------------------------------------------------------
kdb5_util: Configuration file does not specify default realm while initializing the Kerberos admin interface
-------------------------------------------------------------------------------

Wat ik verder nog had gevonden:

Note: Please use real domain names when setting up Kerberos even if you intend to run it internally. This avoids DNS problems and assures inter-operation with other Kerberos realms.

en dat het aan mijn /etc/hosts file zou kunnen liggen; dus die slinger ik er ook bij
code:
1
2
3

# For loopbacking.
127.0.0.1               localhost               localhost
192.168.1.1             server.imdos.ath.cx     server

resolv.conf ook nog; gulle bui vandaag ;)
code:
1
2
3
4

nameserver 127.0.0.1
nameserver 62.45.46.46
nameserver 62.45.45.45
domain imdos.ath.cx

[ Voor 12% gewijzigd door imdos op 12-05-2004 19:05 . Reden: toevoeging ]

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

donderdag 13 mei 2004 00:09

Acties:

Verwijderd

Zo te zien praten we over MIT kerberos ;) Is wel handig om te weten (hoewel de verschillen voor iemand die er vaker mee gewerkt heeft, wel duidelijk zullen zijn).

Zo te zien is er niks mis met je configuratie. Er staat in je krb5.conf keurig een default realm gespecificeerd.

Ik durf dan ook mijn geld wel erop in te zetten dat of MIT kerberos niet met DNS SRV support gecompileerd is of dat bij MIT DNS SRV lookups standaard uitstaan als ze niet specifiek in de configuratie ingeschakeld worden.

Zie "man krb5.conf" voor informatie over het inschakelen van dns lookups voor services/realms.

edit:

Ik heb even voor je opgezocht wat er bij Heimdal Kerberos5 in de krb5.conf staat om DNS lookups aan/uit te zetten:

dns_lookup_realm = true
dns_lookup_kdc = true

De configuratie van Heimdal en Mit is grotendeels uitwisselbaar


Laat ik dat van dat geld inzetten trouwens maar terug nemen.

Ook al zou DNS niet werken, dan komt de foutmelding daar niet mee overeen.

Heb je toevallig al eens bekeken of krb5.conf wel gelezen wordt (of kan worden) door de programma's?

[ Voor 37% gewijzigd door Verwijderd op 13-05-2004 00:22 ]

donderdag 13 mei 2004 10:06

Acties:

Verwijderd

code:
1
2
3

cp /etc/resolv.conf /etc/resolv.conf.bak
sed s/domain/search/ /etc/resolv.conf.bak > /etc/resolv.conf
dig TXT _kerberos

donderdag 13 mei 2004 21:06

Acties:
  • imdos
  • Registratie: Maart 2000
  • Laatst online: 09:45

imdos

I use FreeNAS and Ubuntu

Topicstarter
dig TXT _kerberos
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

; <<>> DiG 9.2.3 <<>> TXT _kerberos
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 16370
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0
 
;; QUESTION SECTION:
;_kerberos.                     IN      TXT
 
;; AUTHORITY SECTION:
.                       10750   IN      SOA     A.ROOT-SERVERS.NET. 
NSTLD.VERISIGN-GRS.COM. 2004051300 1800 900 604800 86400
 
;; Query time: 4 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu May 13 21:01:25 2004
;; MSG SIZE  rcvd: 102

niet goed dus :(

dig TXT _kerberos.imdos.ath.cx
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

; <<>> DiG 9.2.3 <<>> TXT _kerberos.imdos.ath.cx
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50889
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 1
 
;; QUESTION SECTION:
;_kerberos.imdos.ath.cx.                IN      TXT
 
;; ANSWER SECTION:
_kerberos.imdos.ath.cx. 86400   IN      TXT     "IMDOS.ATH.CX"
 
;; AUTHORITY SECTION:
imdos.ath.cx.           86400   IN      NS      server.imdos.ath.cx.
 
;; ADDITIONAL SECTION:
server.imdos.ath.cx.    86400   IN      A       192.168.1.1
 
;; Query time: 5 msec
;; SERVER: 127.0.0.1#53(127.0.0.1)
;; WHEN: Thu May 13 21:02:14 2004
;; MSG SIZE  rcvd: 102


nog een strace
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
open("/etc/krb5.conf", O_RDONLY)        = 3
access("/etc/krb5.conf", W_OK)          = 0
--- snip -----
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
stat64("/etc/krb5.conf", {st_mode=S_IFREG|0640, st_size=800, ...}) = 0
write(2, "Configuration file does not spec"..., 49Configuration file does not s
write(2, " ", 1 )                        = 1
write(2, "while retreiving configuration p"..., 41while retreiving configuratio
write(2, "\r", 1M)                       = 1
write(2, "\n", 1
)                       = 1
_exit(1)                                = ?

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

maandag 17 mei 2004 14:06

Acties:
  • imdos
  • Registratie: Maart 2000
  • Laatst online: 09:45

imdos

I use FreeNAS and Ubuntu

Topicstarter
schop ... na die update werkt het dus nog niet :(

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

dinsdag 18 mei 2004 10:21

Acties:

Verwijderd

Wat geeft dit?
code:
1

nslookup/host <client_ip>

ik neem aan dat je je resolv.conf gefixed hebt?

woensdag 19 mei 2004 17:35

Acties:
  • imdos
  • Registratie: Maart 2000
  • Laatst online: 09:45

imdos

I use FreeNAS and Ubuntu

Topicstarter
nslookup -sil 192.168.1.1
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

Server:         127.0.0.1
Address:        127.0.0.1#53
 
1.1.168.192.in-addr.arpa        name = www.imdos.ath.cx.
1.1.168.192.in-addr.arpa        name = ldap.imdos.ath.cx.
1.1.168.192.in-addr.arpa        name = _ldap._tcp.dc._msdcs.imdos.ath.cx.
1.1.168.192.in-addr.arpa        name = _ldap._tcp.imdos.ath.cx.
1.1.168.192.in-addr.arpa        name = imdos.ath.cx.
1.1.168.192.in-addr.arpa        name = server.imdos.ath.cx.
1.1.168.192.in-addr.arpa        name = _kpasswd._udp.imdos.ath.cx.
1.1.168.192.in-addr.arpa        name = kerberos.imdos.ath.cx.
1.1.168.192.in-addr.arpa        name = _kerberos.imdos.ath.cx.
1.1.168.192.in-addr.arpa        name = _kerberos-adm._tcp.imdos.ath.cx.
1.1.168.192.in-addr.arpa        name = _kerberos-master._udp.imdos.ath.cx.

cat /etc/resolv.conf
code:
1
2
3
4
5

nameserver 127.0.0.1
nameserver 62.45.46.46
nameserver 62.45.45.45
search imdos.ath.cx
#domain imdos.ath.cx

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

vrijdag 21 mei 2004 10:03

Acties:
  • imdos
  • Registratie: Maart 2000
  • Laatst online: 09:45

imdos

I use FreeNAS and Ubuntu

Topicstarter
en weer een schup *doing*

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

vrijdag 21 mei 2004 12:01

Acties:
  • declan001
  • Registratie: April 2003
  • Laatst online: 22-01-2023

declan001

ik heb het volgende in me krb5.conf staan, wijkt iets af van de jouwe(mischien dat het helpt)

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
ticket_lifetime = 24000
default_realm = THE-CENTRE.COM
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
THE-CENTRE.COM = {
kdc = tower.the-centre.com:88
kdc = failsafe.the-centre.com:88
admin_server = tower.the-centre.com:749
default_domain = the-centre.com
}

[domain_realm]
.the-centre.com = THE-CENTRE.COM
the-centre.com = THE-CENTRE.COM

[ Voor 192% gewijzigd door declan001 op 21-05-2004 12:09 ]

chance favors the prepared mind

vrijdag 21 mei 2004 12:33

Acties:
  • imdos
  • Registratie: Maart 2000
  • Laatst online: 09:45

imdos

I use FreeNAS and Ubuntu

Topicstarter
wootttttttttttttttttttttttttt .... it's alive _/-\o_

Stomme blokhaken waren het grote probleem 8)7 |:(

Iedereen vergeet dus niet van < een [ te maken en van > een ]

pvoutput. Waarom makkelijk doen, als het ook moeilijk kan! Every solution has a new problem

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq