timeout für kerberos / kadmin
Hallo, Ich bin gerade beim "spielen" mit kerberos und habe mir einen XEN Server aufgesetzt mit einigen domU's. einer davon soll ein kerberos Server sein ein anderer ein ldap Serevr. Jetzt habe ich das Problem kerberos wartet nicht lange genug auf den ldap Server. Gibt es da eine timeout Einstellung für den krb5 / kadmin Server die ich noch nicht gefunden habe? Oder habt Ihr eine andere Idee. -- mit freundlichen Grüßen / best Regards, Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 01 Mar 2012 11:41:01 +0100 schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Hallo,
Ich bin gerade beim "spielen" mit kerberos und habe mir einen XEN Server aufgesetzt mit einigen domU's.
einer davon soll ein kerberos Server sein ein anderer ein ldap Serevr.
Jetzt habe ich das Problem kerberos wartet nicht lange genug auf den ldap Server.
Gibt es da eine timeout Einstellung für den krb5 / kadmin Server die ich noch nicht gefunden habe?
Oder habt Ihr eine andere Idee.
Eigentlich gibt es kein Timeout für KDC, allerdings kennt LDAP ein Timeout. Durch welche Meldung wird denn der Eindruck erweckt, dass KDC nicht lange genug wartet? Welcher Error Code wird denn ausgegeben? Setze mal den Loglevel für LDAP hoch genug, dass Verbindungsdaten gelogged werden. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Donnerstag, 1. März 2012, 12:35:44 schrieb Dieter Klünter:
Am Thu, 01 Mar 2012 11:41:01 +0100
schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Hallo,
Ich bin gerade beim "spielen" mit kerberos und habe mir einen XEN Server aufgesetzt mit einigen domU's.
einer davon soll ein kerberos Server sein ein anderer ein ldap Serevr.
Jetzt habe ich das Problem kerberos wartet nicht lange genug auf den ldap Server.
Gibt es da eine timeout Einstellung für den krb5 / kadmin Server die ich noch nicht gefunden habe?
Oder habt Ihr eine andere Idee.
Eigentlich gibt es kein Timeout für KDC, allerdings kennt LDAP ein Timeout. Durch welche Meldung wird denn der Eindruck erweckt, dass KDC nicht lange genug wartet? Welcher Error Code wird denn ausgegeben? Setze mal den Loglevel für LDAP hoch genug, dass Verbindungsdaten gelogged werden.
Er sagt nur "Unable to Access Kerberos Database while Initializing, aborting" und das x 3, dann gibt krb5 und kadmin auf selbiges auch im kadmin log :(. Ich muss mal suchen ob es möglich ist, die Startreihenfolge im XEN anzupassen, damit der ldap server vor krb5 startet Habe aber noch nichts darüber gefunden. Etwas viel neues was ich da ausprobiere ;) Wenn ich es dann per Hand starte läuft zwar der krb5 & kadmin aber Anmelden tut sich noch nichts, wahrscheinlich habe ich noch zu wenig gelesen gesucht um das hin zu bekommen. -- mit freundlichen Grüßen / best Regards, Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 01 Mar 2012 14:45:40 +0100 schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Am Donnerstag, 1. März 2012, 12:35:44 schrieb Dieter Klünter:
Am Thu, 01 Mar 2012 11:41:01 +0100
schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Hallo,
Ich bin gerade beim "spielen" mit kerberos und habe mir einen XEN Server aufgesetzt mit einigen domU's.
einer davon soll ein kerberos Server sein ein anderer ein ldap Serevr.
Jetzt habe ich das Problem kerberos wartet nicht lange genug auf den ldap Server.
Gibt es da eine timeout Einstellung für den krb5 / kadmin Server die ich noch nicht gefunden habe?
Oder habt Ihr eine andere Idee.
Eigentlich gibt es kein Timeout für KDC, allerdings kennt LDAP ein Timeout. Durch welche Meldung wird denn der Eindruck erweckt, dass KDC nicht lange genug wartet? Welcher Error Code wird denn ausgegeben? Setze mal den Loglevel für LDAP hoch genug, dass Verbindungsdaten gelogged werden.
Er sagt nur
"Unable to Access Kerberos Database while Initializing, aborting" und das x 3, dann gibt krb5 und kadmin auf
selbiges auch im kadmin log :(.
Ich muss mal suchen ob es möglich ist, die Startreihenfolge im XEN anzupassen, damit der ldap server vor krb5 startet
Habe aber noch nichts darüber gefunden.
Etwas viel neues was ich da ausprobiere ;)
Wenn ich es dann per Hand starte läuft zwar der krb5 & kadmin aber Anmelden tut sich noch nichts, wahrscheinlich habe ich noch zu wenig gelesen gesucht um das hin zu bekommen.
Du setzt also openLDAP als Database für KDC ein. Welche krb5 Version nutzt du? Heimdal oder Umich? Baut der KDC die Verbindung über TCP oder über Unix IPC-Socket, vulgo ldapi:/// auf? Hast du systemd auf der XEN Maschine laufen? Dann kannst du die Startreihenfolge in /lib/systemd/system/krb5.system unter [Unit] Wants=ldap.service After=ldap.service ändern. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Donnerstag, 1. März 2012, 15:52:56 schrieb Dieter Klünter:
Am Thu, 01 Mar 2012 14:45:40 +0100
schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Am Donnerstag, 1. März 2012, 12:35:44 schrieb Dieter Klünter:
Am Thu, 01 Mar 2012 11:41:01 +0100
schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Hallo,
Ich bin gerade beim "spielen" mit kerberos und habe mir einen XEN Server aufgesetzt mit einigen domU's.
einer davon soll ein kerberos Server sein ein anderer ein ldap Serevr.
Jetzt habe ich das Problem kerberos wartet nicht lange genug auf den ldap Server.
Gibt es da eine timeout Einstellung für den krb5 / kadmin Server die ich noch nicht gefunden habe?
Oder habt Ihr eine andere Idee.
Eigentlich gibt es kein Timeout für KDC, allerdings kennt LDAP ein Timeout. Durch welche Meldung wird denn der Eindruck erweckt, dass KDC nicht lange genug wartet? Welcher Error Code wird denn ausgegeben? Setze mal den Loglevel für LDAP hoch genug, dass Verbindungsdaten gelogged werden.
Er sagt nur
"Unable to Access Kerberos Database while Initializing, aborting" und das x 3, dann gibt krb5 und kadmin auf
selbiges auch im kadmin log :(.
Ich muss mal suchen ob es möglich ist, die Startreihenfolge im XEN anzupassen, damit der ldap server vor krb5 startet
Habe aber noch nichts darüber gefunden.
Etwas viel neues was ich da ausprobiere ;)
Wenn ich es dann per Hand starte läuft zwar der krb5 & kadmin aber Anmelden tut sich noch nichts, wahrscheinlich habe ich noch zu wenig gelesen gesucht um das hin zu bekommen.
Dieter; das ist Kanonenfeuer ;), was unterbei steht ;)
Du setzt also openLDAP als Database für KDC ein. Welche krb5 Version nutzt du? Heimdal oder Umich? Baut der KDC die Verbindung über TCP oder über Unix IPC-Socket, vulgo ldapi:/// auf? Hast du systemd auf der XEN Maschine laufen? Dann kannst du die Startreihenfolge in /lib/systemd/system/krb5.system unter [Unit] Wants=ldap.service After=ldap.service
ändern.
Ich versuche es mal langsam ;), ich habe bis jetzt nur auf die YaSt2 Module gesetzt, bei der Installation, und nur vorhandenes installiert, das ist also MIT-Kerberos. Der Aufbau der Verbindung sollte was ich in den config gefunden habe über ldapi:/// erfolgen (was "vulgo" bedeutet weiß ich noch nicht. mal Nachlesen ;)) Nein leider, es läuft noch nicht systemd, ist ein SLES Testsystem. :((. Dann werde ich mal neu installieren müssen, damit ldap zuerst kommt oder probieren ob umbenennen auch geht. DANKE auch mal für Deinen Hilfe, dachte nicht, dass es sooooo schwer ist kerberos zum laufen zu bekommen :(. -- mit freundlichen Grüßen / best Regards, Günther J. Niederwimmer -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 01.03.2012 16:41, schrieb Günther J. Niederwimmer:
Am Donnerstag, 1. März 2012, 15:52:56 schrieb Dieter Klünter:
Am Thu, 01 Mar 2012 14:45:40 +0100
schrieb Günther J. Niederwimmer<gjn@gjn.priv.at>:
Am Donnerstag, 1. März 2012, 12:35:44 schrieb Dieter Klünter:
Am Thu, 01 Mar 2012 11:41:01 +0100
schrieb Günther J. Niederwimmer<gjn@gjn.priv.at>:
Hallo,
Ich bin gerade beim "spielen" mit kerberos und habe mir einen XEN Server aufgesetzt mit einigen domU's.
einer davon soll ein kerberos Server sein ein anderer ein ldap Serevr.
Jetzt habe ich das Problem kerberos wartet nicht lange genug auf den ldap Server.
Gibt es da eine timeout Einstellung für den krb5 / kadmin Server die ich noch nicht gefunden habe?
Oder habt Ihr eine andere Idee.
Eigentlich gibt es kein Timeout für KDC, allerdings kennt LDAP ein Timeout. Durch welche Meldung wird denn der Eindruck erweckt, dass KDC nicht lange genug wartet? Welcher Error Code wird denn ausgegeben? Setze mal den Loglevel für LDAP hoch genug, dass Verbindungsdaten gelogged werden.
Er sagt nur
"Unable to Access Kerberos Database while Initializing, aborting" und das x 3, dann gibt krb5 und kadmin auf
selbiges auch im kadmin log :(.
Ich muss mal suchen ob es möglich ist, die Startreihenfolge im XEN anzupassen, damit der ldap server vor krb5 startet
Habe aber noch nichts darüber gefunden.
Etwas viel neues was ich da ausprobiere ;)
Wenn ich es dann per Hand starte läuft zwar der krb5& kadmin aber Anmelden tut sich noch nichts, wahrscheinlich habe ich noch zu wenig gelesen gesucht um das hin zu bekommen.
Dieter; das ist Kanonenfeuer ;), was unterbei steht ;)
Du setzt also openLDAP als Database für KDC ein. Welche krb5 Version nutzt du? Heimdal oder Umich? Baut der KDC die Verbindung über TCP oder über Unix IPC-Socket, vulgo ldapi:/// auf? Hast du systemd auf der XEN Maschine laufen? Dann kannst du die Startreihenfolge in /lib/systemd/system/krb5.system unter [Unit] Wants=ldap.service After=ldap.service
ändern.
Ich versuche es mal langsam ;), ich habe bis jetzt nur auf die YaSt2 Module gesetzt, bei der Installation, und nur vorhandenes installiert, das ist also MIT-Kerberos.
Der Aufbau der Verbindung sollte was ich in den config gefunden habe über ldapi:/// erfolgen (was "vulgo" bedeutet weiß ich noch nicht. mal Nachlesen ;))
Nein leider, es läuft noch nicht systemd, ist ein SLES Testsystem.
:((.
Dann werde ich mal neu installieren müssen, damit ldap zuerst kommt oder probieren ob umbenennen auch geht.
Wenn es nicht systemd ist, müsste das doch über Einträge in /etc/rc.d/.depend.start oder die required-start-Einträge in den Startscripten zu regeln sein??? Habe grad keine Ahnung, weil ich es nicht brauche, aber da waren schon threads dazu, sollten sich im Archiv finden... just my 2 ct cu jth -- www.teddylinx.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Thu, 01 Mar 2012 16:41:25 +0100 schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Am Donnerstag, 1. März 2012, 15:52:56 schrieb Dieter Klünter:
Am Thu, 01 Mar 2012 14:45:40 +0100
schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Am Donnerstag, 1. März 2012, 12:35:44 schrieb Dieter Klünter:
Am Thu, 01 Mar 2012 11:41:01 +0100
schrieb Günther J. Niederwimmer <gjn@gjn.priv.at>:
Hallo, [...] Der Aufbau der Verbindung sollte was ich in den config gefunden habe über ldapi:/// erfolgen (was "vulgo" bedeutet weiß ich noch nicht. mal Nachlesen ;))
Nein leider, es läuft noch nicht systemd, ist ein SLES Testsystem.
Dann prüfe mal die Rechte von /var/run/slapd die müssen auf ldap.ldap stehen. Häufig werden diese überschrieben. [...]
DANKE auch mal für Deinen Hilfe, dachte nicht, dass es sooooo schwer ist kerberos zum laufen zu bekommen :(.
Gern geschehen. Aber Einrichten von Kerberos ist nicht allzu schwierig, nach einer halben Stunde sollte alles laufen :-) -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Freitag, 2. März 2012, 08:05:21 schrieb Dieter Klünter:
Am Thu, 01 Mar 2012 16:41:25 +0100
[...]
Der Aufbau der Verbindung sollte was ich in den config gefunden habe über ldapi:/// erfolgen (was "vulgo" bedeutet weiß ich noch nicht. mal Nachlesen ;))
Nein leider, es läuft noch nicht systemd, ist ein SLES Testsystem.
Dann prüfe mal die Rechte von /var/run/slapd die müssen auf ldap.ldap stehen. Häufig werden diese überschrieben.
Das Problem des Starts scheint mit einer Umschichtung der domU's behoben zu sein
[...]
DANKE auch mal für Deinen Hilfe, dachte nicht, dass es sooooo schwer ist kerberos zum laufen zu bekommen :(.
Gern geschehen. Aber Einrichten von Kerberos ist nicht allzu schwierig, nach einer halben Stunde sollte alles laufen :-)
Ja, für die Leutchen die sich schon auskennen ;) anscheinend ist bei mir auch ein Problem mit sssd das gestartet war, jetzt kann ich schon von jedem Rechner mit kadmin zugreifen, aber wie ich das am besten Testen kann, was noch funktioniert ist mir noch nicht klar.... Anscheinend muss ich da noch stöbern, wie das funktioniert. -- mit freundlichen Grüßen / best Regards, Günther J. Niederwimmer PS:Auf dem KBD Server gehört doch auch ein krb5.keitab oder? -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (3)
-
Dieter Klünter -
Günther J. Niederwimmer -
Joerg Thuemmler