Partage
  • Partager sur Facebook
  • Partager sur Twitter

Les services Kerberos ne démarrent pas

[Kerberos][Openldap]

Sujet résolu
ageofempiresz
    25 mai 2020 à 12:01:16

    Bonjour,
    J'ai un souci avec le démarrage des services Kerberos sous RedHat 8, je fourni le contexte "il y a un serveur qui fait office de Kerberos pour l'authentification et un autre qui fait serveur OpenLDAP pour l'annuaire. Les 2 serveurs ont la même version OS. 
    Voici les erreurs qui sont générées dans les logs côté serveur Kerberos :
    -- Le processus maître de la session est 27085.
mai 25 09:37:06 srv-kerberos.toto.tutu systemd[1]: Starting Kerberos 5 KDC...
-- Subject: L'unité (unit) krb5kdc.service a commencé à démarrer
-- Defined-By: systemd
-- Support: https://access.redhat.com/support
-- 
-- L'unité (unit) krb5kdc.service a commencé à démarrer.
mai 25 09:37:06 srv-kerberos.toto.tutu krb5kdc[27124]: krb5kdc: cannot initialize realm TOTO.TUTU - see log file for details
mai 25 09:37:06 srv-kerberos.toto.tutu systemd[1]: krb5kdc.service: Control process exited, code=exited status=1
mai 25 09:37:06 srv-kerberos.toto.tutu systemd[1]: krb5kdc.service: Failed with result 'exit-code'.
mai 25 09:37:06 srv-kerberos.toto.tutu systemd[1]: Failed to start Kerberos 5 KDC.
-- Subject: L'unité (unit) krb5kdc.service a échoué
-- Defined-By: systemd
-- Support: https://access.redhat.com/support
-- 
-- L'unité (unit) krb5kdc.service a échoué, avec le résultat RESULT.
mai 25 09:38:40 srv-kerberos.toto.tutu systemd[1]: Starting Kerberos 5 Password-changing and Administration...
-- Subject: L'unité (unit) kadmin.service a commencé à démarrer
-- Defined-By: systemd
-- Support: https://access.redhat.com/support
-- 
-- L'unité (unit) kadmin.service a commencé à démarrer.
mai 25 09:38:40 srv-kerberos.toto.tutu kadmind[27131]: kadmind: Unable to read Realm: Unable to access Kerberos database while initializing, aborting
mai 25 09:38:40 srv-kerberos.toto.tutu systemd[1]: kadmin.service: Control process exited, code=exited status=1
mai 25 09:38:40 srv-kerberos.toto.tutu systemd[1]: kadmin.service: Failed with result 'exit-code'.
mai 25 09:38:40 srv-kerberos.toto.tutu systemd[1]: Failed to start Kerberos 5 Password-changing and Administration.
-- Subject: L'unité (unit) kadmin.service a échoué
-- Defined-By: systemd
-- Support: https://access.redhat.com/support
    J'ai effectué un ldapsearch depuis le serveur Kerberos et ça marche.

    Mon problème viendrait peut-être de la configuration du fichier krb5.conf, mais pour moi elle semble correct.
    Fichier crypto-policies
    [libdefaults]
permitted_enctypes = aes256-cts-hmac-sha1-96 aes256-cts-hmac-sha384-192 camellia256-cts-cmac aes128-cts-hmac-sha1-96 aes128-cts-hmac-sha256-128 camellia128-cts-cmac
    Fichier krb5.conf
    # To opt out of the system crypto-policies configuration of krb5, remove the
# symlink at /etc/krb5.conf.d/crypto-policies which will not be recreated.
includedir /etc/krb5.conf.d/
 
[logging]
    default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
    dns_lookup_realm = false
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = true
    rdns = false
    pkinit_anchors = FILE:/etc/pki/tls/certs/ca-bundle.crt
    spake_preauth_groups = edwards25519
    default_realm = TOTO.TUTU
    default_ccache_name = KEYRING:persistent:%{uid}
 
[realms]
TOTO.TUTU = {
    kdc = srv-kerberos.toto.tutu
    admin_server = srv-kerberos.toto.tutu
    database_module = openldap_ldapconf
}
 
[domain_realm]
  .toto.tutu = TOTO.TUTU
  toto.tutu = TOTO.TUTU
 
[dbdefaults]
  ldap_kerberos_container_dn = cn=krbContainer,dc=titi,dc=lol,dc=test,dc=bob
 
[dbmodules]
  openldap_ldapconf = {
    db_library = kldap
    ldap_kdc_dn = "cn=admin,dc=titi,dc=lol,dc=test,dc=bob"
 
    # this object needs to have read rights on
    # the realm container, principal container and realm sub-trees
    ldap_kadmind_dn = "cn=admin,dc=titi,dc=lol,dc=test,dc=bob"
 
    # this object needs to have read and write rights on
    # the realm container, principal container and realm sub-trees
    ldap_service_password_file = /var/kerberos/krb5kdc/ldap.keyfile
    ldap_servers = ldap://srv-openldap.toto.tutu
  }
    Si quelqu'un peut m'aide pour ce problème, car c'est nouveau pour moi la pratique du Kerberos.
    Je précise que le 2 services Kerberos marchaient avant.

    -
    Edité par ageofempiresz 25 mai 2020 à 12:08:24

    • Partager sur Facebook
    • Partager sur Twitter
    ageofempiresz
      26 mai 2020 à 20:46:41

      Cela venait d'un problème de objectclasses LDAP qui a été supprimé pour Kerberos, il faillait les rajouter.

      J'ai pu remonter les services de Kerberos : krb5kdc.service et kadmin.service.

      -
      Edité par ageofempiresz 26 mai 2020 à 20:49:09

      • Partager sur Facebook
      • Partager sur Twitter

      Les services Kerberos ne démarrent pas

      × Après avoir cliqué sur "Répondre" vous serez invité à vous connecter pour que votre message soit publié.
      × Attention, ce sujet est très ancien. Le déterrer n'est pas forcément approprié. Nous te conseillons de créer un nouveau sujet pour poser ta question.
      • Editeur
      • Markdown