Hi, ich betreibe ein kleines, privates Netz aus 6 Hosts(Laptops) und einige Server für Kerberos, LDAP, E-Mail und Kalender. Nachdem ich ein Laptop mit Tumbleweed ausgerüstet hatte, gibt es nun erhebliche Probleme mit SSH und Krb5. Ein kinit findet den KDC nicht mehr, SSH versteht GSSAPI nicht mehr. Soweit eine kurze Beschreibung: kinit kinit: KDC für Realm »EXAMPLE.COM« kann nicht gefunden werden bei Anfängliche Anmeldedaten werden geholt. Ein strace auf kinit deutete auch die Quellen an. Die Default-Enstellung für krb5 in /etc/krb5.conf werden nicht ausgelesen, strace deutete auf ein Verzeichnis /var/lib/sss/pubconf/krb5/include.d/ das allerdings leer ist. Einige Dateien scheinen auf Redhat als Quelle der Struktur zu verweisen. Allerdings finden in /usr/share/doc/packages/krb5/ hilfreiche Hinweise auf die Konfiguration. die Veränderungen der SSH Umgebung werden nicht dokumentiert, letztlich hilft nur try and error. ssh -o GSSAPIDelegateCredentials=yes läuft auf allen meiner Systeme, nur nicht auf der aktuellen Tumbleweed Version. Obwohl neben Krb5 Keyes auch ssh_keys vorhanden sind, funktioniert hier nichts mehr. Mir ist klar, dass SuSE nicht allein verantwortlich ist, aber eine vernünftige Dokumentation sollte schon möglich sein. -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E
Am Tue, 28 Sep 2021 18:51:28 +0200 schrieb Dieter Klünter <dieter@dkluenter.de>:
Hi, ich betreibe ein kleines, privates Netz aus 6 Hosts(Laptops) und einige Server für Kerberos, LDAP, E-Mail und Kalender.
Nachdem ich ein Laptop mit Tumbleweed ausgerüstet hatte, gibt es nun erhebliche Probleme mit SSH und Krb5. Ein kinit findet den KDC nicht mehr, SSH versteht GSSAPI nicht mehr. Soweit eine kurze Beschreibung:
kinit kinit: KDC für Realm »EXAMPLE.COM« kann nicht gefunden werden bei Anfängliche Anmeldedaten werden geholt. Ein strace auf kinit deutete auch die Quellen an.
Die Default-Enstellung für krb5 in /etc/krb5.conf werden nicht ausgelesen, strace deutete auf ein Verzeichnis /var/lib/sss/pubconf/krb5/include.d/ das allerdings leer ist. Einige Dateien scheinen auf Redhat als Quelle der Struktur zu verweisen. Allerdings finden in /usr/share/doc/packages/krb5/ hilfreiche Hinweise auf die Konfiguration.
die Veränderungen der SSH Umgebung werden nicht dokumentiert, letztlich hilft nur try and error.
ssh -o GSSAPIDelegateCredentials=yes läuft auf allen meiner Systeme, nur nicht auf der aktuellen Tumbleweed Version. Obwohl neben Krb5 Keyes auch ssh_keys vorhanden sind, funktioniert hier nichts mehr.
Mir ist klar, dass SuSE nicht allein verantwortlich ist, aber eine vernünftige Dokumentation sollte schon möglich sein.
Eines habe ich noch vergessen: ldapwhoami -Y GSSAPI -H ldap://myhost.mydomain SASL/GSSAPI authentication started ldap_sasl_interactive_bind_s: Local error (-2) additional info: SASL(-1): generic failure: GSSAPI Error: No credentials were supplied, or the credentials were unavailable or inaccessible (No Kerberos credentials available (default cache: DIR:/run/user/1000/krb5cc)) Ich möche die Ursache erkennen, die das Auslesen und Umsetzen der krb5.conf verhindert. -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E
On 28.09.21 19:10, Dieter Klünter wrote:
Am Tue, 28 Sep 2021 18:51:28 +0200 schrieb Dieter Klünter <dieter@dkluenter.de>: ldapwhoami -Y GSSAPI -H ldap://myhost.mydomain SASL/GSSAPI authentication started ldap_sasl_interactive_bind_s: Local error (-2)
Bitte gehe das Problem von unten nach oben an. Solange kinit nicht funktioniert und in sichtbaren Tickets in der Ausgabe von klist resultiert, brauchst Du weiter oben nicht schauen. BTW: Das hier laufende Tumbleweed (das allerdings sehr, sehr weit weg vom nächsten KDC ist), liest ohne Probleme die /etc/krb5.conf: ulf@tumbleweed:~> kinit kinit: Cannot find KDC for realm "LAN.U-V.DE" while getting initial credentials ulf@tumbleweed:~> grep LAN.U-V.DE /etc/krb5.conf default_realm = LAN.U-V.DE ulf@tumbleweed:~> Viele Grüße Ulf
Am Tue, 28 Sep 2021 19:24:49 +0200 schrieb Ulf Volmer <u.volmer@u-v.de>:
On 28.09.21 19:10, Dieter Klünter wrote:
Am Tue, 28 Sep 2021 18:51:28 +0200 schrieb Dieter Klünter <dieter@dkluenter.de>: ldapwhoami -Y GSSAPI -H ldap://myhost.mydomain SASL/GSSAPI authentication started ldap_sasl_interactive_bind_s: Local error (-2)
Bitte gehe das Problem von unten nach oben an. Solange kinit nicht funktioniert und in sichtbaren Tickets in der Ausgabe von klist resultiert, brauchst Du weiter oben nicht schauen.
BTW: Das hier laufende Tumbleweed (das allerdings sehr, sehr weit weg vom nächsten KDC ist), liest ohne Probleme die /etc/krb5.conf:
ulf@tumbleweed:~> kinit kinit: Cannot find KDC for realm "LAN.U-V.DE" while getting initial credentials ulf@tumbleweed:~> grep LAN.U-V.DE /etc/krb5.conf default_realm = LAN.U-V.DE ulf@tumbleweed:~>
So sieht es bei mir auch aus. Wie schon erwähnt, habe ich 6 Kerberos Clients installiert, alle haben die gleiche /etc/krb5.conf. OS 2 Tumbleweed, die seit 2018 gepflegt werden, 2 RaspberryPi, 1 CentOS-7, allerdings MiT-Krb5 pur, also kein IPA. kinit: KDC für Realm "Example.COM" kann nicht gefunden werden... Allerdings zeigt ein strace anderes: Ich habe ein strace auf ein funktionierdes kinit und auf ein nicht funktionierendes kinit gemacht, [nicht funktiioniernede System] openat(AT_FDCWD, "/etc/krb5.conf", O_RDONLY) = 3 fcntl(3, F_SETFD, FD_CLOEXEC) = 0 read(3, "", 4096) = 0 close(3) [funktionierndes System] openat(AT_FDCWD, "/etc/krb5.conf", O_RDONLY) = 3 fcntl(3, F_SETFD, FD_CLOEXEC) = 0 newfstatat(3, "", {st_mode=S_IFREG|0644, st_size=1462, ...}, AT_EMPTY_PATH) = 0 strace -o produziert 570 Zeilen, Ich stelle gerne beide Dateien zur Lektüre bereit. -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E
On 29.09.21 15:54, Dieter Klünter wrote:
Am Tue, 28 Sep 2021 19:24:49 +0200 schrieb Ulf Volmer <u.volmer@u-v.de>:
BTW: Das hier laufende Tumbleweed (das allerdings sehr, sehr weit weg vom nächsten KDC ist), liest ohne Probleme die /etc/krb5.conf:
ulf@tumbleweed:~> kinit kinit: Cannot find KDC for realm "LAN.U-V.DE" while getting initial credentials ulf@tumbleweed:~> grep LAN.U-V.DE /etc/krb5.conf default_realm = LAN.U-V.DE ulf@tumbleweed:~>
So sieht es bei mir auch aus. Wie schon erwähnt, habe ich 6 Kerberos Clients installiert, alle haben die gleiche /etc/krb5.conf. OS 2 Tumbleweed, die seit 2018 gepflegt werden, 2 RaspberryPi, 1 CentOS-7, allerdings MiT-Krb5 pur, also kein IPA. kinit: KDC für Realm "Example.COM" kann nicht gefunden werden...
EXAMPLE.COM als REALM finde ich schlecht gewählt, aber anyway. Wenn Du in der /etc/krb5.conf den default_realm auf einen anderen Wert setzt, ändert sich die Ausgabe von kinit? Viele Grüße Ulf
Am Wed, 29 Sep 2021 16:15:11 +0200 schrieb Ulf Volmer <u.volmer@u-v.de>:
On 29.09.21 15:54, Dieter Klünter wrote:
Am Tue, 28 Sep 2021 19:24:49 +0200 schrieb Ulf Volmer <u.volmer@u-v.de>:
BTW: Das hier laufende Tumbleweed (das allerdings sehr, sehr weit weg vom nächsten KDC ist), liest ohne Probleme die /etc/krb5.conf:
ulf@tumbleweed:~> kinit kinit: Cannot find KDC for realm "LAN.U-V.DE" while getting initial credentials ulf@tumbleweed:~> grep LAN.U-V.DE /etc/krb5.conf default_realm = LAN.U-V.DE ulf@tumbleweed:~>
So sieht es bei mir auch aus. Wie schon erwähnt, habe ich 6 Kerberos Clients installiert, alle haben die gleiche /etc/krb5.conf. OS 2 Tumbleweed, die seit 2018 gepflegt werden, 2 RaspberryPi, 1 CentOS-7, allerdings MiT-Krb5 pur, also kein IPA. kinit: KDC für Realm "Example.COM" kann nicht gefunden werden...
EXAMPLE.COM als REALM finde ich schlecht gewählt, aber anyway.
Das ist doch nur ein Platzhalter für meinen lokalen Realm.
Wenn Du in der /etc/krb5.conf den default_realm auf einen anderen Wert setzt, ändert sich die Ausgabe von kinit?
Habe ich jetzt getestet, es kommt aber nur der gleiche Müll raus. Also weiter suchen. Gruß -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E
On 29.09.21 19:24, Dieter Klünter wrote:
Am Wed, 29 Sep 2021 16:15:11 +0200 schrieb Ulf Volmer <u.volmer@u-v.de>:
Wenn Du in der /etc/krb5.conf den default_realm auf einen anderen Wert setzt, ändert sich die Ausgabe von kinit?
Habe ich jetzt getestet, es kommt aber nur der gleiche Müll raus. Also weiter suchen.
Mystisch. Hast Du ggf. den sssd laufen und dort in der Config Kerberos spezifische Einstellungen? (Deine beiden strace fand ich eigentlich unverdächtig, dort wird die krb5.conf ja definitiv gefunden und geöffnet) Viele Grüße Ulf
Am Wed, 29 Sep 2021 19:33:52 +0200 schrieb Ulf Volmer <u.volmer@u-v.de>:
On 29.09.21 19:24, Dieter Klünter wrote:
Am Wed, 29 Sep 2021 16:15:11 +0200 schrieb Ulf Volmer <u.volmer@u-v.de>:
Wenn Du in der /etc/krb5.conf den default_realm auf einen anderen Wert setzt, ändert sich die Ausgabe von kinit?
Habe ich jetzt getestet, es kommt aber nur der gleiche Müll raus. Also weiter suchen.
Mystisch. Hast Du ggf. den sssd laufen und dort in der Config Kerberos spezifische Einstellungen?
(Deine beiden strace fand ich eigentlich unverdächtig, dort wird die krb5.conf ja definitiv gefunden und geöffnet)
So, ich habe das Problem auf andere Art und Weise gelöst :-) In der Grabbelkiste liegt noch ein altes Thinkpad T420, dem habe ich eine ältere Samsung SSD 500 GB gegönnt, ein Manjaro Iso aufgespielt und siehe da, keine Probleme mit Kerberos, das gesamte Netz läuft wieder. ldapwhoami -Y gssapi -H ldap://some.host SASL/GSSAPI authentication started SASL username: dieter@AVCI.DE SASL SSF: 256 SASL data security layer installed. klist -f 30.09.2021 20:57:40 ldap/raspi6.avci.AVCI.DE erneuern bis 01.10.2021 08:57:40, Schalter: FRAT Danke für die Hilfestellung Gruß -Dieter -- Dieter Klünter | Systemberatung http://sys4.de GPG Key ID: E9ED159B 53°37'09,95"N 10°08'02,42"E
On 30.09.21 09:14, Dieter Klünter wrote:
So, ich habe das Problem auf andere Art und Weise gelöst :-) In der Grabbelkiste liegt noch ein altes Thinkpad T420, dem habe ich eine ältere Samsung SSD 500 GB gegönnt, ein Manjaro Iso aufgespielt und siehe da, keine Probleme mit Kerberos, das gesamte Netz läuft wieder.
Als Lösung würde ich das nicht bezeichnen. Deine Aussage, ein Tumbleweed ignoriert die krb5.conf und ein anderes honoriert sie, finde ich durchaus interessant und hätte da gern eine Erklärung für. Aber wenn das Thema für Dich jetzt o.k. ist, soll es mir recht sein. Viele Grüße Ulf
Am Thu, 30 Sep 2021 13:18:24 +0200 schrieb Ulf Volmer <u.volmer@u-v.de>:
On 30.09.21 09:14, Dieter Klünter wrote:
So, ich habe das Problem auf andere Art und Weise gelöst :-) In der Grabbelkiste liegt noch ein altes Thinkpad T420, dem habe ich eine ältere Samsung SSD 500 GB gegönnt, ein Manjaro Iso aufgespielt und siehe da, keine Probleme mit Kerberos, das gesamte Netz läuft wieder.
Als Lösung würde ich das nicht bezeichnen.
Die Problemlösung ist ja jetzt meine Spielwiese, d.h. jetzt die Ursache im Vergleich zu ermitteln.
Deine Aussage, ein Tumbleweed ignoriert die krb5.conf und ein anderes honoriert sie, finde ich durchaus interessant und hätte da gern eine Erklärung für.
Daran will ich ja arbeiten. Es wird etliche Tage dauern, bis ich Ansätze zur Ursachenbeschreibung formulieren kann.
Aber wenn das Thema für Dich jetzt o.k. ist, soll es mir recht sein.
Ich werde mich jetzt darin verbeissen, sonst rostet ja mein Gehirn ein. -Dieter
participants (2)
-
Dieter Klünter -
Ulf Volmer