Re: Problema con Kerberos5 usando base de datos LDAP
El día 5 de marzo de 2012 06:09, Arturo Borrero Gonzalez
<cer.inet@linuxmail.org> escribió:
> Hola!
>
> Estoy usando el paquete krb5-kdc-ldap para que mi kerberos use como
> base de datos de principales un servidor LDAP.
> Siguiendo los manuales tanto de Debian como de Ubuntu, me encuentro
> con un problema que no soy capaz de solucionar y que comento aquí:
>
> · He poblado el arbol LDAP usado la utilidad "kdb5_ldap_util", tal y
> como se explica en los procedimientos. Revisando mi LDAP, los cambios
> que se han hecho al directorio son evidentes.
> · He creado los passwords para que Kerberos pueda consultar al LDAP
> con las credenciales necesarias.
> · Cuando intento inicializar la interfaz de administración, con
> kadmin.local, recibo el siguiente mensaje de error:
>
> kadmind[26023](Error): Can not fetch master key (error: Cannot
> find/read stored master key). while initializing, aborting
Lo raro es que en la configuracion no tenes definido llaves
pero aparentemente el error es un erro de llave
>
> Lo mismo cuando intento iniciar el servicio en /etc/init.d. En ambos
> caso, el servidor LDAP recibe consultas de el servidor kerberos.
>
> krb5kdc: Can not fetch master key (error: Cannot find/read stored
> master key). - while fetching master key K/M for realm EXAMPLE.ES
>
> Con lo cual, llego a la conclusión de que: 1) En el LDAP no está toda
> la información que debería, por cualquier motivo (un bug?), 2) Hay
> algo que no he entendido del procedimiento.
>
> Mi configuración es la siguiente:
> ##################
> cat /etc/krb5.conf
>
> [libdefaults]
> default_realm = EXAMPLE.ES
> forwadable = true
> proxiable = true
>
> [realms]
>
> EXAMPLE.ES = {
> kdc = krb-krb.example.es
> admin_server = krb-krb.example.es
> default_domain = example.es
> database_module = openldap_ldapconf
> }
>
> [domain_realm]
> .example.es = example.ES
> example.es = example.ES
>
> [login]
> krb4_convert = true
> krb4_get_tickets = false
>
> [logging]
> kdc = FILE:/var/log/kerberos/krb5kdc.log
> admin_server = FILE:/var/log/kerberos/kadmin.log
> default = FILE:/var/log/kerberos/krb5lib.log
>
> [dbdefaults]
> ldap_kerberos_container_dn = ou=krb5,dc=example,dc=es
>
> [dbmodules]
> openldap_ldapconf = {
> db_library = kldap
> ldap_kdc_dn = "cn=admin,dc=example,dc=es"
>
> # this object needs to have read rights on
> # the realm container, principal container and realm sub-trees
> ldap_kadmind_dn = "cn=admin,dc=example,dc=es"
>
> # this object needs to have read and write rights on
> # the realm container, principal container and realm sub-trees
> ldap_service_password_file = /etc/krb5kdc/service.keyfile
> ldap_servers = ldap://krb-ldap.example.es
> ldap_conns_per_server = 5
> }
>
> ##################
>
> cat /etc/krb5kdc/kdc.conf
>
> [kdcdefaults]
> kdc_ports = 750,88
>
> [realms]
> example.ES = {
> database_name = /var/lib/krb5kdc/principal
> acl_file = /etc/krb5kdc/kadm5.acl
> key_stash_file = /etc/krb5kdc/service.keyfile
> kdc_ports = 750,88
> max_life = 10h 0m 0s
> max_renewable_life = 7d 0h 0m 0s
> master_key_type = des3-hmac-sha1
> supported_enctypes = aes256-cts:normal arcfour-hmac:normal
> des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm
> des:onlyrealm des:$
> default_principal_flags = +preauth
> }
>
>
> ######################
>
> Debug de kadmin.local (strace) son muchas lineas, así que uso pastebin:
> http://pastebin.com/h7fLYFKD
>
> ¿Alguna idea?
>
> Un saludo.
>
> --
> /* Arturo Borrero Gonzalez || cer.inet@linuxmail.org */
> /* Use debian gnu/linux! Best OS ever! */
>
>
> --
> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
> Archive: [🔎] CAPfcJasyKEgAbHvMNPaAKTcXBFq3RSGL3RMjabKtWBiZag79Fw@mail.gmail.com">http://lists.debian.org/[🔎] CAPfcJasyKEgAbHvMNPaAKTcXBFq3RSGL3RMjabKtWBiZag79Fw@mail.gmail.com
>
--
MrIX
Linux user number 412793.
http://counter.li.org/
las grandes obras,
las sueñan los santos locos,
las realizan los luchadores natos,
las aprovechan los felices cuerdo,
y las critican los inútiles crónicos,
Reply to: