[Gelöst] Kerberos-Authentifizierung schlägt fehl

[fauxxami]

Guten Abend,

auf meinem Server laufen OpenLDAP und MIT-Kerberos. "getent passwd" liefert alle Benutzer, "id" und "finger" funktionieren ebenso wie "kinit" für beliebige Benutzer einschließlich der Service Keys für host, ldap und root:

Code: Alles auswählen

root@server:/etc/pam.d# id om
uid=1760(om) gid=1003(leitung) Gruppen=1003(leitung)

root@server:/etc/pam.d# kinit om
Password for om@REALM: 

root@server:/etc/pam.d# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: om@REALM

Valid starting       Expires              Service principal
09.03.2014 18:09:32  10.03.2014 04:09:32  krbtgt/REALM@REALM
	renew until 10.03.2014 18:09:29

Per "pam-auth-update --force" wurden Kerberos- und Unix-Authentifizierung aktiviert. Trotz allem kann sich kein Benutzer anmelden, weder per ssh noch per XDMCP noch sonstwie. Hier die Ausgabe von /var/log/auth.log:

Code: Alles auswählen

Mar  9 17:49:10 server sshd[4718]: pam_krb5(sshd:auth): pam_sm_authenticate: entry (nonull)
Mar  9 17:49:10 server sshd[4718]: pam_krb5(sshd:auth): (user om) attempting authentication as om@REALM
Mar  9 17:49:10 server sshd[4718]: pam_krb5(sshd:auth): (user om) credential verification failed: Key version number for principal in key table is incorrect
Mar  9 17:49:10 server sshd[4718]: pam_krb5(sshd:auth): authentication failure; logname=om uid=0 euid=0 tty=ssh ruser= rhost=macbook.local
Mar  9 17:49:10 server sshd[4718]: pam_krb5(sshd:auth): pam_sm_authenticate: exit (failure)
Mar  9 17:49:10 server sshd[4718]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=macbook.local  user=om

Soeben habe ich noch mal "testsaslauthd" getestet:

Code: Alles auswählen

root@server:/etc/ldap# testsaslauthd -u om -p verysecret -s ldap
0: NO "authentication failed"

Und dazu in /var/log/auth.log:

Code: Alles auswählen

Mar 10 17:17:08 server saslauthd[2091]: pam_krb5(ldap:auth): pam_sm_authenticate: entry (silent)
Mar 10 17:17:08 server saslauthd[2091]: pam_krb5(ldap:auth): (user om) attempting authentication as om@REALM
Mar 10 17:17:08 server saslauthd[2091]: pam_krb5(ldap:auth): (user om) credential verification failed: Key version number for principal in key table is incorrect
Mar 10 17:17:08 server saslauthd[2091]: pam_krb5(ldap:auth): authentication failure; logname=om uid=0 euid=0 tty= ruser= rhost=
Mar 10 17:17:08 server saslauthd[2091]: pam_krb5(ldap:auth): pam_sm_authenticate: exit (failure)
Mar 10 17:17:08 server saslauthd[2091]: pam_unix(ldap:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=om
Mar 10 17:17:10 server saslauthd[2091]: DEBUG: auth_pam: pam_authenticate failed: Authentication failure
Mar 10 17:17:10 server saslauthd[2091]: do_auth         : auth failure: [user=om] [service=ldap] [realm=] [mech=pam] [reason=PAM auth error]

Kann jemand helfen? Ich komme nicht klar ...

Danke und Grüße,

Jürgen

[fauxxami]

So ein Mist, jetzt habe ich es: der Key für den LDAP-Dienst hatte sich zusätzlich zur eigentlich vorgesehenen Keytab im LDAP-Verzeichnis auch noch in die System-Keytab eingeschlichen - grrrrr. Dort gelöscht und alles ist gut.

[ThorstenS]

baust du dein System gerade auf, oder hast du da "etwas" übernommen?

[fauxxami]

baust du dein System gerade auf, oder hast du da "etwas" übernommen?

Ich baue auf ... manchmal aufgrund meiner penetranten Dusseligkeit nur millimeterweise.

[ThorstenS]

ich denke du machst das schon, es sind ja nicht die einfachsten Einsteigerthemen, die du hier behandelst…