Re: Kerberos debug?

От: Victor Sudakov <CGatePro_at_mx_ru>
Дата: Thu 24 Oct 2013 - 18:20:19 MSK

Dmitry Akindinov wrote:
> >>
> >> Чтобы понять, на каком этапе ломается разбор данных сервером - только в
> >> отладчике.
> >>
> >>>> Дальше нужен кейтаб для расшифровки тикета и ошибка с форматом
> >>>> происходит скорее всего уже прирасшифровке тикета.
> >>>
> >>> Я бы предоставил кейтаб, если кто-то согласится взглянуть.
> >>
> >> Взглянуть можно.

> >
> > А чей keytab нужен, сервера? Который в CGP установлен?
> 
> Да.

Как мне его передать вам приватно?

> 


> >>>> Но даже если мы найдём - где, вряд ли получится починить, если баг -


> >>>> плавающий.

> >>>>

> >>>> Проверьте, что на сервере, клиенте и Керберос контроллере часы

> >>>> синхронизованы.

> >>>

> >>> Везде ntpd работает. Сколько у CGP-шного кербероса предельный
> >>> clockskew, не милисекунды же?
> >>
> >> У клиента тоже?

> >
> > Да.
> >

> >>
> >> Просто подумалось, что если "то работает, то не работает", то дело может
> >> быть во времени, к кторому Керберос чуствителен. Но там, насколько
> >> помню, допускается расхождение часов до пяти минут.

> >
> > Вряд ли. Если запускать например mutt несколько раз подряд после
> > GSSAPI authentication error, то на второй-третий раз обязательно
> > пустит. Вряд ли что-то успевает произойти с часами за такой кратий
> > промежуток времени.
> >

> >>
> >> А какой керберос сервер используется?

> >
> > В смысле KDC ? Heimdal 1.1.0 из комплекта FreeBSD 8.
> >
> > Kerberos используется еще для ssh, SVN, CVS и еще чего-то, чего сходу
> > не вспомню. Но описанная проблема только с CGP.
> 
> А между попытками с mutt результат klist одинаковый?

Да. Ничего не меняется, есть один и тот же билет на imap/mail.sibptus.tomsk.ru@SIBPTUS.TOMSK.RU вот он то срабатывает, то нет.

Сужу, что он один и тот же, потому что "Start time" и прочие его признаки не меняются.

-- 
Victor Sudakov,  VAS4-RIPE, VAS47-RIPN
sip:sudakov@sibptus.tomsk.ru

Получено Thu Oct 24 14:20:30 2013