Dmitry Akindinov wrote:
> >>>> Скажите просто, как дебаг GSSAPI включить в сервере. Это был основной
> >>>> вопрос, и даже в тему вынесен.
> >>>
> >>> Там нет отдельного лога, максимум что можно увидеть - низкоуровневый
> >>> обмен в логах протокола, в котором происходит аутентификация (IMAP, HTTP
> >>> и так далее). Там же будет ошибка о неверном ключе или о проблеме с
> >>> декодированием тикета. Но вряд ли этосильно поможет...
> >
> > А вот таки посмотрел wireshark-ом, запретив SSL. Ответ сервера:
> >
> > a0001 NO Kerberos: incorrect request format
> >
> > Дамп пакетов тут: http://zalil.ru/34788611
> > Как проанализировать то, что идет после "AUTHENTICATE GSSAPI", и
> > почему оно incorrect. я не знаю. Не поможете?
> > Ну там много нгде оно может сломаться... Сам запрос декодируется без > ошибок, версия тикета правильная, имя домена и реалма в правильных > местах.
А не покажете dump в текстовом виде того, что удалось декодировать? Есть у меня одно подозрение насчет principal-а. Или подскажите, чем декодировать можно.
> Дальше нужен кейтаб для расшифровки тикета и ошибка с форматом > происходит скорее всего уже прирасшифровке тикета.
Я бы предоставил кейтаб, если кто-то согласится взглянуть.
> > Но даже если мы найдём - где, вряд ли получится починить, если баг - > плавающий. > > Проверьте, что на сервере, клиенте и Керберос контроллере часы > синхронизованы.
Везде ntpd работает. Сколько у CGP-шного кербероса предельный clockskew, не милисекунды же?
-- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:sudakov@sibptus.tomsk.ruПолучено Wed Oct 23 07:14:37 2013
Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:17:38 MSK