[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Problema con Kerberos5 usando base de datos LDAP

Hola!

Estoy usando el paquete krb5-kdc-ldap para que mi kerberos use como
base de datos de principales un servidor LDAP.
Siguiendo los manuales tanto de Debian como de Ubuntu, me encuentro
con un problema que no soy capaz de solucionar y que comento aquí:

· He poblado el arbol LDAP usado la utilidad "kdb5_ldap_util", tal y
como se explica en los procedimientos. Revisando mi LDAP, los cambios
que se han hecho al directorio son evidentes.
· He creado los passwords para que Kerberos pueda consultar al LDAP
con las credenciales necesarias.
· Cuando intento inicializar la interfaz de administración, con
kadmin.local, recibo el siguiente mensaje de error:

kadmind[26023](Error): Can not fetch master key (error: Cannot
find/read stored master key). while initializing, aborting

Lo mismo cuando intento iniciar el servicio en /etc/init.d. En ambos
caso, el servidor LDAP recibe consultas de el servidor kerberos.

krb5kdc: Can not fetch master key (error: Cannot find/read stored
master key). - while fetching master key K/M for realm EXAMPLE.ES

Con lo cual, llego a la conclusión de que: 1) En el LDAP no está toda
la información que debería, por cualquier motivo (un bug?), 2) Hay
algo que no he entendido del procedimiento.

Mi configuración es la siguiente:
##################
cat /etc/krb5.conf

[libdefaults]
        default_realm = EXAMPLE.ES
        forwadable = true
        proxiable = true

[realms]

        EXAMPLE.ES = {
                kdc = krb-krb.example.es
                admin_server = krb-krb.example.es
                default_domain = example.es
                database_module = openldap_ldapconf
        }

[domain_realm]
        .example.es = example.ES
        example.es = example.ES

[login]
        krb4_convert = true
        krb4_get_tickets = false

[logging]
        kdc = FILE:/var/log/kerberos/krb5kdc.log
        admin_server = FILE:/var/log/kerberos/kadmin.log
        default = FILE:/var/log/kerberos/krb5lib.log

[dbdefaults]
        ldap_kerberos_container_dn = ou=krb5,dc=example,dc=es

[dbmodules]
        openldap_ldapconf = {
                db_library = kldap
                ldap_kdc_dn = "cn=admin,dc=example,dc=es"

                # this object needs to have read rights on
                # the realm container, principal container and realm sub-trees
                ldap_kadmind_dn = "cn=admin,dc=example,dc=es"

                # this object needs to have read and write rights on
                # the realm container, principal container and realm sub-trees
                ldap_service_password_file = /etc/krb5kdc/service.keyfile
                ldap_servers = ldap://krb-ldap.example.es
                ldap_conns_per_server = 5
        }

##################

cat /etc/krb5kdc/kdc.conf

[kdcdefaults]
    kdc_ports = 750,88

[realms]
    example.ES = {
        database_name = /var/lib/krb5kdc/principal
        acl_file = /etc/krb5kdc/kadm5.acl
        key_stash_file = /etc/krb5kdc/service.keyfile
        kdc_ports = 750,88
        max_life = 10h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        master_key_type = des3-hmac-sha1
        supported_enctypes = aes256-cts:normal arcfour-hmac:normal
des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm
des:onlyrealm des:$
        default_principal_flags = +preauth
    }


######################

Debug de kadmin.local (strace) son muchas lineas, así que uso pastebin:
http://pastebin.com/h7fLYFKD

¿Alguna idea?

Un saludo.

-- 
/* Arturo Borrero Gonzalez || cer.inet@linuxmail.org */
/* Use debian gnu/linux! Best OS ever! */
Reply to: