Re: Re: Kerberos debug?

От: Dmitry Akindinov <CGatePro_at_mx_ru>
Дата: Tue 22 Oct 2013 - 23:15:29 MSK

Здравствуйте,

On 2013-10-22 18:27, Victor Sudakov wrote:
> Victor Sudakov wrote:

>>>>
>>>> Скажите просто, как дебаг GSSAPI включить в сервере. Это был основной
>>>> вопрос, и даже в тему вынесен.
>>>
>>> Там нет отдельного лога, максимум что можно увидеть - низкоуровневый
>>> обмен в логах протокола, в котором происходит аутентификация (IMAP, HTTP
>>> и так далее). Там же будет ошибка о неверном ключе или о проблеме с
>>> декодированием тикета. Но вряд ли этосильно поможет...
>

> А вот таки посмотрел wireshark-ом, запретив SSL. Ответ сервера:

>

> a0001 NO Kerberos: incorrect request format

>

> Дамп пакетов тут: http://zalil.ru/34788611
> Как проанализировать то, что идет после "AUTHENTICATE GSSAPI", и
> почему оно incorrect. я не знаю. Не поможете?

Ну там много нгде оно может сломаться... Сам запрос декодируется без ошибок, версия тикета правильная, имя домена и реалма в правильных местах. Дальше нужен кейтаб для расшифровки тикета и ошибка с форматом происходит скорее всего уже прирасшифровке тикета.

Но даже если мы найдём - где, вряд ли получится починить, если баг - плавающий.

Проверьте, что на сервере, клиенте и Керберос контроллере часы синхронизованы.

-- 
Best regards,
Dmitry Akindinov

Получено Tue Oct 22 19:15:42 2013