LINUX.ORG.RU
ФорумAdmin

Описание царства Цербера в DNS.


0

0

Доброго времени суток.

MIT Kerberos. Некоторые MIT утилиты игнорируют записи в DNS.

В файле зоны:

; kerberos
_kerberos IN TXT STRGROUP.ORG.
kerberos IN CNAME jupiter
_kerberos._udp IN SRV 0 0 88 kerberos
_kerberos._tcp IN SRV 0 0 88 kerberos
_kerberos-master._udp IN SRV 0 0 88 kerberos
_kerberos-adm._tcp IN SRV 0 0 749 kerberos
_kpasswd._udp IN SRV 0 0 464 kerberos

в /etc/krb5.conf секции [realms] и [domain_realm] пустые.

При этом kinit работает на ура, все сервисы через GSSAPI - тоже.

Но kadmin не работает без имени kadmin-сервера в [realms], "kinit -k" - без соответствия домен-реалм в [domain_realm].

Что я делаю не так?

ЗЫ:

router@amalthea:~$ sudo kadmin
Authenticating as principal root/admin@STRGROUP.ORG with password.
kadmin: Missing parameters in krb5.conf required for kadmin client while initializing kadmin interface
router@amalthea:~$ sudo kinit -k
kinit(v5): Cannot resolve network address for KDC in realm while getting initial credentials

★★★★★
> права на точку монтирования внешнего кармана
CommuniGate

возможно, утилиты не понимают цнеймов. Попробуй застрейсить kinit -k и выложить лог. Посмотрим, куда резолвер ломится, и что отдает клиенту.

gr_buza ★★★★
()
Ответ на: комментарий от gr_buza

CNAME ни при чём. Пробовал и CNAME указывать. А насчёт strace - это хорошая идея :) Завтра попробую

router ★★★★★
() автор топика
Ответ на: комментарий от gr_buza 

connect(4, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("192.168.0.254")}, 28) = 0
fcntl(4, F_GETFL)                       = 0x2 (flags O_RDWR)
fcntl(4, F_SETFL, O_RDWR|O_NONBLOCK)    = 0
poll([{fd=4, events=POLLOUT}], 1, 0)    = 1 ([{fd=4, revents=POLLOUT}])
sendto(4, "\355\232\1\0\0\1\0\0\0\0\0\0\t_kerberos\4_udp\0\0!\0\1"..., 32, MSG_NOSIGNAL, NULL, 0) = 32
poll([{fd=4, events=POLLIN}], 1, 5000)  = 1 ([{fd=4, revents=POLLIN}]) 
recvfrom(4, "\355\232\201\203\0\1\0\0\0\1\0\0\t_kerberos\4_udp\0\0!\0\1\0\0\6\0\1\0\0\32\30
4\0@\1A\fROOT-SERVERS\3NET\0\5NSTLD\fVERISIGN-GRS\3COM\0w\260\350\
close(4)                                = 0
open("/etc/resolv.conf", O_RDONLY)      = 4
fstat(4, {st_mode=S_IFREG|0644, st_size=197, ...}) = 0
mmap(NULL, 4096, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0x7f58a417e000
read(4, "# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)\n#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRIT
read(4, ""..., 4096)                    = 0
close(4)                                = 0
munmap(0x7f58a417e000, 4096)            = 0
stat("/etc/resolv.conf", {st_mode=S_IFREG|0644, st_size=197, ...}) = 0
socket(PF_INET, SOCK_DGRAM, IPPROTO_IP) = 4
connect(4, {sa_family=AF_INET, sin_port=htons(53), sin_addr=inet_addr("192.168.0.254")}, 28) = 0
fcntl(4, F_GETFL)                       = 0x2 (flags O_RDWR) 
fcntl(4, F_SETFL, O_RDWR|O_NONBLOCK)    = 0
poll([{fd=4, events=POLLOUT}], 1, 0)    = 1 ([{fd=4, revents=POLLOUT}])
sendto(4, "\211\350\1\0\0\1\0\0\0\0\0\0\t_kerberos\4_tcp\0\0!\0\1"..., 32, MSG_NOSIGNAL, NULL, 0) = 32
poll([{fd=4, events=POLLIN}], 1, 5000)  = 1 ([{fd=4, revents=POLLIN}])
recvfrom(4, "\211\350\201\203\0\1\0\0\0\1\0\0\t_kerberos\4_tcp\0\0!\0\1\0\0\6\0\1\0\0\32\30
4\0@\1A\fROOT-SERVERS\3NET\0\5NSTLD\fVERISIGN-GRS\3COM\0w\260\350\
close(4)                                = 0
write(2, "kinit(v5): Cannot resolve network address for KDC in realm  "..., 60kinit(v5): Cannot resolve network address for KDC in realm  ) = 60
write(2, "while getting initial credentials"..., 33while getting initial credentials) = 33
write(2, "\n"..., 1

router ★★★★★
() автор топика
Ответ на: комментарий от router

Обращение к DNS вижу, 192.168.0.254, он же jupiter. Домашний сервер, на котором аутентификация через цербера и обкатывается.

Но запрашивается почему-то не _kerberos._tcp.strgroup.org, а просто _kerberos._tcp. Это очень странно.

router@amalthea:~$ dig +short -t SRV _kerberos._tcp.strgroup.org
0 0 88 kerberos.strgroup.org.
router@amalthea:~$ dig +short -t SRV _kerberos._tcp
router@amalthea:~$

router ★★★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
> права на точку монтирования внешнего кармана
Admin
CommuniGate