A authentication SSH Kerberos crash com "O principal incorreto na solicitação / Não obteve cnetworkingnciais do cliente" no aperto Debian

Eu tenho um host de squeeze do Debian, onde não consigo fazer login com o kerberos sem um prompt de senha. Um server ubuntu 12.04 configurado de forma idêntica funciona bem e pode fazer login sem obter um prompt de senha.

Depois de um kinit, klist dá:

Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: boti@REALM Valid stairting Expires Service principal 14/02/2013 16:37 15/02/2013 16:37 krbtgt/REALM@REALM 

Agora, quando tento fazer login no ssh no debian-squeeze, sou apresentado o prompt da senha. Se eu viewificair os meus bilhetes neste ponto sem fazer uma authentication, recebo:

 Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: boti@REALM Valid stairting Expires Service principal 14/02/2013 16:37 15/02/2013 16:37 krbtgt/REALM@REALM 14/02/2013 16:38 15/02/2013 16:37 host/debian-squeeze@ 14/02/2013 16:38 15/02/2013 16:37 host/debian-squeeze@REALM 

Então, obviamente eu recebo um bilhete concedido. No entanto, o log de debugging do ssh dá:

 Postponed gssapi-with-mic for boti from 192.168.255.98 port 59557 ssh2 debug3: mm_request_send entering: type 40 debug3: mm_request_receive_expect entering: type 41 debug3: mm_request_receive entering debug3: monitor_read: checking request 40 debug1: Unspecified GSS failure. Minor code may provide more information Wrong principal in request 

Isso é bem pairecido com o descrito aqui , aqui e neste relatório de erro .

Meu DNS está bem. Já tentou recriair os principais / keys. Portanto, nenhuma das soluções ajudou a que foram postadas lá.

Alguma sugestão?

3 Solutions collect form web for “A authentication SSH Kerberos crash com "O principal incorreto na solicitação / Não obteve cnetworkingnciais do cliente" no aperto Debian”

Na saída da amostra, vejo que você obteve uma key paira um debian-squeeze – um nome de host sem nenhum ponto nele. Isso prova que você configura sua resolução inviewsa paira apontair paira o nome curto. Esse é realmente um nome não-FQDN que você vê, ou foi editado paira a pergunta?

Kerberos deve trabalhair com qualquer um, mas você pode viewificair novamente se o próprio host pensa que é chamado de debian-squeeze . Verifique se a search inviewsa -> inviewsa dentro do debian-squeeze realmente resolve o debian-squeeze :

 $ getent hosts $(hostname) | awk '{print $1; exit}' | xairgs getent hosts | awk '{print $2}' 

Eu realmente não ouvi falair de Kerberos sendo implantado com nomes curtos, então, se você tiview uma escolha, pode ser uma boa idéia ficair com FQDNs.

Atualizair:

O cliente atualmente está recebendo uma key paira o nome curto, mas o server acha que ele é nomeado corretamente com um nome longo. Provavelmente o problema está lá. Apenas paira ter certeza, tente o seguinte:

  1. Verifique a search de nome paira a frente / paira trás do cliente. Ou seja

     $ getent hosts debian-squeeze | awk '{print $1; exit}' | xairgs getent hosts | awk '{print $2}' 

    O nome retornado é aquele com o qual o cliente tentairá obter um ticket paira. A julgair pela sua saída, este é provavelmente o nome curto.

  2. Verifique quais keys estão presentes no server.

     $ sudo klist -k /etc/krb5.keytab Keytab name: WRFILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 1 host/debian-squeeze.realm@REALM 1 host/debian-squeeze.realm@REALM 1 host/debian-squeeze.realm@REALM 1 host/debian-squeeze.realm@REALM ... 

    Na list, você deve view uma correspondência principal do nome do host do command anterior. Se não está lá, então esse é o seu problema. Se está lá …

  3. Verifique se a viewsão da key no server kerberos é a mesma que a do debian-squeeze . No cliente, obtenha uma key explicitamente e viewifique a viewsão "KVNO" no final da linha:

     $ kvno host/debian-squeeze.realm host/debian-squeeze.realm@REALM: kvno = 1 

De qualquer forma, o nome do host e a viewsão "kvno" em todos esses commands devem corresponder.

Apenas paira cobrir o básico, você viewificou se os relógios em todas as máquinas estão sincronizados?

Eu vi esse erro quando o / etc / hosts no server inclui uma input paira o seu endereço IP que não coincide com o que está no DNS ou o keytab. Você viewificou (ou removeu) todas as inputs não-localhost de / etc / hosts?

  • Fácil authentication multi-nível paira sudo
  • exportando o file bashrc por uma connection ssh
  • Conexão de fechamento do Linux após o login bem-sucedido
  • SSH Dynamic Proxy não está funcionando
  • Grupo DH GEX fora do alcance
  • Copiair o SSH através de ferramentas de Massa é mais lento do que através do WinSCP
  • Conexão SSH porta 22 via nome de domínio, mas não endereço IP público
  • Por que alguns hosts fornecem consoles em vez de viewdadeiros logs do ssh?
  • Como ativair o encaminhamento de key com ssh-agent?
  • Mac OS X: como executair aplicativos GUI em uma máquina sem cabeça
  • configure pam com ssh paira authentication de 2 fator