Устранение ошибок GSS-API на одном клиенте, аутентифицирующем Kerberos
Простой факт заключается в том, что если человек может произвольно устанавливать программы, то они, вероятно, могут установить программу, которая будет работать в соответствии с привилегиями root, поэтому они могут установить программы, которые предоставляют им другие виды доступа. Т.е. любое лицо, которое может установить или изменять то, что запускается как root, или может легко стать рутом.
Если вы хотите отделить свою аутентификацию, вы действительно должны смотреть на некоторую форму централизованной службы каталогов, которыми управляются только администраторы аутентификации. Так что не позволяйте никому создавать локальные пользователи и создать систему, которая удаляет / флаги любые созданные локальные пользователи. Тогда просто свяжите все системы в ваш центральный каталог.
В наши дни большинство этих задач, вероятно, следует косвенно обрабатываться с системой управления конфигурацией, когда это возможно. Затем вы можете реализовать некоторые проверки вашей системы управления конфигурацией, которые разрешают только определенные группы управлять определенными вещами. Возможно, вы можете просто иметь человека, который одобряет изменения в файлах управления конфигурацией, прежде чем они применяются к производственным системам. То, что этот человек будет проверить, что каждое изменение производится уполномоченным лицом.
Замечание: kinit сработал, kadmin -p админ не смог из-за проблем с NTP/времени.
Я не могу быть единственным человеком, который застрял за брандмауэром, блокирующим порт 123 ---, что приведет к подобной ошибке. (Для аутентификации Kerberos необходима синхронизация по времени).
Решение:
- Настройте сервер Kerberos (или другой сервер в локальной сети) в качестве сервера NTP.
- Настройте этот сервер на обновление с собственных часов
- Пусть неудавшийся клиент синхронизирует свое время с локальным хостом
Для перенастройки локального сервера времени: 1. Добавить собственные часы в качестве источника времени и разрешить соединения из сети (даже широковещательные):
system ntp stop
pico /etc/ntp. conf
Add:
server 0.us.pool.ntp.org iburst
server 1.us.pool.ntp.org iburst
server 2.us.pool.ntp.org iburst
server 3.us.pool.ntp.org iburst
server 127.127.1.0
server 127.127.1.0 stratum 10
The subnet:
restrict 10.0.0.0 mask 255.255.255.0
Broadcast:
broadcast 10.0.0.255
As root, then:
system ntp start
On the client:
ntpdate -bs 10.0.0.1 #whatever the local ntp host is