Re: [Admin-ml] HELP Kerberos mystérieux problème

Jean-Luc Bailloeul jlbailloeul at irtsnpdc.fr
Ven 21 Aou 17:07:33 CEST 2009


Le 21 août 09 à 15:32, Christophe AVRILLON a écrit :

> Bonjour à tous,
Bonjour,
>
> Sur un serveur MOD avec une réplique sur un autre serveur...
>
> Kerberos sur le MOD n'est plus actif alors qu'il devrait l'être...  
> (le DNS est bon... changeip -checkhostname retourne bien names match)
> de + Kerberos fonctionne bien sur la réplique avec le bon royaume  
> (le même qui était actif sur le MOD)!!!
>
> Avez-vous eu ce cas de figure ?
Oh que oui, une paire de fois. souvent après des updates. (j'ai même  
encore en ce moment des problèmes avec le serveur de mot de passe que  
nous n'arrivons pas à identifier).
> Une solution ? des pistes ? SVP
> Je ne trouve rien de significatif dans les logs...
As-tu une sauvegarde du système de ton serveur ?
Qu'affiches l'état OD ? l'état du serveur de Mot de Passe ? de  
Kerberos ?
un reboot du système change -t'il quelque chose ?
Il faut commencer par vérifier les logs du PasswordServer dans / 
Library/Logs/PasswordServer :
ApplePasswordServer.Server.log, ApplePasswordServer.Replication.log,  
ApplePasswordServer.Error.log et remonter dans l'historique, il doit  
nécessairement être bavard sur quelque chose…
et également sur la réplique.


vérifies l'existence des fichiers :
/Library/Preferences/edu.mit.kerberos
keytab… : ls -l /var/db/krb5kdc

- vérifie que la config est stockée dans le ldap :
dscl localhost

    > cd /LDAPv3/127.0.0.1/Config
    > ls
    > read KerberosClient
    > read KerberosKDC

- vérifier que le fichier kadm5.keytab contient les bons principals
 >ktutil: rkt /var/db/krb5kdc/kadm5.keytab
 >ktutil: list

• Vérifier que le fichier /etc/krb5.keytab a bien été créé puis, qu'il  
contient les principals des services
$klist -ke

Peux-tu encore obtenir un ticket auprès de kerby sur le master pour  
certains comptes ou aucuns ne fonctionnent ?
kinit admin (ou diradmin)
klist -5

Bon courage,
Jean-Luc
>
> bien sur les services comme "Activer la liaison d'annuaire  
> authentifiée" ne sont plus modifiable !
>
>
> Merci,
> -- 
> Christophe AVRILLON_______________________________________________
> Admin-ml mailing list
> Admin-ml at mosx.org
> http://coruscant.mosx.org/mailman/listinfo/admin-ml
>




Plus d'informations sur la liste de diffusion Admin-ml