— ОШИБКА:
Не удалось отправить широковещательное сообщение ‘bc-check-dc:.domena.net’:Сеть недоступна
—
Сеть не настроена или настроена не полностью:
Настройка сети через interfaces:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address i.i.i.i
netmask 255.255.m.m
gateway g.g.g.g
Если во время настройки и перезагрузки сети появляются ошибки, например «Failed to bring up eth0», то можно «очистить» интерфейс командой:
ip addr flush eth0
ald-client join
— ОШИБКА:
Не удалось отправить широковещательное сообщение ‘bc-check-dc:.da’: Сеть недоступна
—
— ОШИБКА:
Astra Linux Directory не сконфигурирована.
Заполните конфигурационный файл ‘/etc/ald/ald.conf’.
Не указан gateway в настройках сети клиента.
Не заполнен /etc/ald/ald.conf
ald-client join
— ОШИБКА:
Не удалось отправить широковещательное сообщение ‘bc-check-dc:.da’: Сеть недоступна
—
— ПРЕДУПРЕЖДЕНИЕ:
ALD сервер домена ‘.da’ не обнаружен.
—
— ОШИБКА:
Не удалось отправить широковещательное сообщение ‘bc-check-dc:.da’: Сеть недоступна
—
Не указан gateway в настройках сети клиента.
ald-client status
— ОШИБКА:
Не удалось отправить широковещательное сообщение ‘bc-check-dc:.da’: Сеть недоступна
—
— ПРЕДУПРЕЖДЕНИЕ:
ALD сервер домена ‘.da’ не обнаружен.
—
Не указан gateway в настройках сети клиента.
ald-client join server.da
— ПРЕДУПРЕЖДЕНИЕ:
Ошибка разрешения имени компьютера ‘server.da’.
—
Некорректно настроены имя и ip адрес, например в /etc/hosts отсутствует длинное имя машин:
127.0.0.1 localhost 192.168.1.1 myserver 192.168.1.2 client
ald-init init
— ОШИБКА:
Триггер ‘ald-cfg-nfs:DoNFSInitFS’ вызвал исключение!
Ошибка RPC: Ошибка Krb5 сервера ALD: Ошибка проверки сообщения KRB-PRIV. в ADKrb5Server.cpp:248(decode)
:> Incorrect net address
:> (rpc-creds)
—
Ошибка может быть вызвана применением антивируса или изменением правил iptables.
ald-init init или ald-client join
— ОШИБКА: Ошибка аутентификации пользователя ‘admin/admin’: Ошибка MIT Kerberos V5:
Ошибка инициализации интерфейса администрирования kadm5. в ALDKadm5Connection.cpp:345(ConnectPassword)
:> GSS-API (or Kerberos) error
—
Некорректно настроены имя и ip адрес, например в /etc/hosts (разрешение имен может быть настроено и с помощью сервера DNS) следует указать ip, длинное и короткое имя и исключить запись «127.0.1.1 myserver»:
127.0.0.1 localhost 192.168.1.1 myserver.example.ru myserver 192.168.1.2 client.example.ru client
В /etc/ald/ald.conf не указаны длинное имя машины и домен:
DOMAIN=.example.ru SERVER=myserver.example.ru
Недостаточно энтропии во время инициализации домена.
- При вводе клиента (ald-client join), ошибка(345) возникает из-за несовпадения времени на машинах.
Утилита hostname должна выдавать короткое имя. После внесения изменений в файл /etc/hostname необходимо перезагрузить машину.
ald-init init или ald-client join
— ОШИБКА:
Ошибка OpenLDAP при GSSAPI соединения — Local error в ALDLDapConnection.cpp:734(Connect)
:> SASL(1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server ldap/dc.test.test not found in Kerberos database)
—
Разрешение имен настроено не верно, перепутаны местами длинное и короткое имя, пример:
127.0.0.1 localhost 192.168.1.1 myserver myserver.example.ru 192.168.1.2 client client.example.ru
ald-admin test-integrity —admin=ald-admin
Вход от имени пользователя ‘ald-admin’…
Введите пароль администратора ALD ‘ald-admin’: *
Проверка конфигурации домена…………………………….ok
Проверка модулей LDAP…………………………………..ok
Проверка индексов LDAP………………………………….ok
Проверка ограничений уникальности LDAP……………………ok
Проверка системных принципалов…………………………..— ОШИБКА:
Ошибка RPC: Ошибка MIT Kerberos V5: Не удалось получить список принципалов Kerberos. в ALDKadm5Connection.cpp:924(Principals)
:> Operation requires «list» privilege
:> (rpc-princ-list)
—
После добавления astra-admin в ALLOWED_LOCAL_GROUPS и выполнения ald-init commit-config снять права администратора домена, применить, установить права администратора домена, применить.
- При выполнении: ald-client commit-config
— ОШИБКА:
Ошибка OpenLDAP при запросе ‘cn=client.ru,ou=hosts,dc=ru (objectClass=x-ald-host-object)’ — Can’tcontact LDAP server в ALDLdapConnection.cpp:213(Search)
—
На клиенте в файле /etc/hosts не внесены данные о резервном сервере.
Environment
- Red Hat Enterprise Linux 5
Issue
Running kadmin on a client system produces the following failure:
# kadmin -p root/admin
kadmin: Communication failure with server while initializing kadmin interface
Resolution
Looking at the krb5.conf file revealed a typo in the following section:
[realms]
SERVER119.EXAMPLE.COM = {
kdc = 192.168.0.119:88
admin_server = 192.168.0.119::749 <------------- Here we can see the double "::" when it should be only one ":"
default_domain = example.com
}
Fixing that solved the issue.
Diagnostic Steps
To diagnose that we checked:
1. kdc.conf, kadm5.acl files located in /var/kerberos/krb5kdc/ directory for misconfiguration.
2. Doublechecked the entries in the /etc/hosts files on the server and the client.
3. Made sure that we have the correct host name (IP_addr) for the master KDC in krb5.conf file.
4. Made sure that kadmind is running on the master KDC.
-
Product(s)
- Red Hat Enterprise Linux
-
Component
- krb5
-
Category
- Troubleshoot
-
Tags
- rhel_5
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
При инициализации на сервере, ALD выдаёт «Ошибка MIT Kerberos v5. Ошибка инициализации интерфейса администратирования kadm5. В ALDKadm5Connection cpp.345 (connect password) GSS_API (от Kerberos) error». На сервере ntp и bind9 настроены и функционируют. Пароли при инициализации вводил разные,от самого простого (от 1 до до сложного и постоянно такая ошибка выскакивает. Но после инициализации ALD,в доменную политику безопасности под паролем который вводил изначально заходит. Все настройки производились по контрольном примеру для ВС РФ.
В hosts имеются записи вида
127.0.0.1 localhost
127.0.1.1 ns1
Ip-адрес нашего сервера ns1
По методичке было указано что надо удалить строку 127.0.0.1 localhost
Но у меня есть ещё предположение что надо удалить строку 127.0.1.1 ns1, но не уверен,так как с настройками серверов раньше не сталкивался. Компьютеры пользователей подключены к серверу через коммутатор, поэтому я предположил что данную строку не стоит удалять или я все таки не прав и надо в файле оставить лишь ip-адрес и название нашего сервера а остальные записи удалить?
UPD: все ip-адреса серверного оборудования и компьютеров имеют вид 10.f.g.0 (в целях безопасности полные ip-адреса не могу предоставить)
Последнее редактирование: 01.07.2018
В hosts имеются записи вида
127.0.0.1 localhost
127.0.1.1 ns1
Ip-адрес нашего сервера ns1
По методичке было указано что надо удалить строку 127.0.0.1 localhost
Но у меня есть ещё предположение что надо удалить строку 127.0.1.1 ns1, но не уверен,так как с настройками серверов раньше не сталкивался. Компьютеры пользователей подключены к серверу через коммутатор, поэтому я предположил что данную строку не стоит удалять или я все таки не прав и надо в файле оставить лишь ip-адрес и название нашего сервера а остальные записи удалить?
UPD: все ip-адреса серверного оборудования и компьютеров имеют вид 10.f.g.0 (в целях безопасности полные ip-адреса не могу предоставить)
127.0.0.1 localhost удалять не надо иначе Ваш сервер не увиидт себя по локальной петле (на ней тоже сенрвисы крутятся).
127.0.1.1 ns1 — это надо удалить иначе сервер будет воспринимать себя по этому адресу а не по сетевому
Третья строчка должна иметь вид: IP-адрес сервера полное доменное имя короткое доменное имя
Для того чтобы поднять ALD домен убедитесь, что у Вас dns-серер функционирует верно ( service bind9 status) вывод должен быть : ОК
127.0.0.1 localhost удалять не надо иначе Ваш сервер не увиидт себя по локальной петле (на ней тоже сенрвисы крутятся).
127.0.1.1 ns1 — это надо удалить иначе сервер будет воспринимать себя по этому адресу а не по сетевому
Третья строчка должна иметь вид: IP-адрес сервера полное доменное имя короткое доменное имя
Для того чтобы поднять ALD домен убедитесь, что у Вас dns-серер функционирует верно ( service bind9 status) вывод должен быть : ОК
Благодарю за ответ,завтра попробую поднять домен согласно Вашим подсказкам.
Данная ошибка появляется еще из-за не верной синхронизации времени между клиентом и сервером
Данная ошибка появляется еще из-за не верной синхронизации времени между клиентом и сервером
В теории да, но у меня эта ошибка проявлялась и из-за кривого DNS и из-за некорректно написанного hosts
такая же ошибка возникла при создании домена командой ald-init init.
в hosts прописаны длинное и короткое имя.
в зонах днс так-же прописаны длинное и короткое как CNAME.
NTP служба работает.
запускаешь команду ald-init init
доходит до перезапуска kadm5 и следом вылетает ошибка:
не может подключиться как adminadmin к базе данных керберос.
и это на свеже созданном сервере 1.5 se с обнвлениями….
разобрался….
после исправления файлов hosts hostname надо перезагрузить машину.
перезапуск /etc/init.d/hostname.sh и service networking restart не применяют изменения, сделанные в этих файлах.
ну или заранее записать в hosts:
а было в hosts так:
name_объекта-name_структуры-name_машины.domain.milk.kz name_машины.domain.milk.kz
dns тут почти не причем, там записи были формата:
name_объекта-name_структуры-name_машины.domain.milk.kz
name_машины.domain.milk.kz
— ОШИБКА:
Не удалось отправить широковещательное сообщение ‘bc-check-dc:.domena.net’:Сеть недоступна
—
Сеть не настроена или настроена не полностью:
Настройка сети через interfaces:
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address i.i.i.i
netmask 255.255.m.m
gateway g.g.g.g
Если во время настройки и перезагрузки сети появляются ошибки, например «Failed to bring up eth0», то можно «очистить» интерфейс командой:
ip addr flush eth0
ald-client join
— ОШИБКА:
Не удалось отправить широковещательное сообщение ‘bc-check-dc:.da’: Сеть недоступна
—
— ОШИБКА:
Astra Linux Directory не сконфигурирована.
Заполните конфигурационный файл ‘/etc/ald/ald.conf’.
Не указан gateway в настройках сети клиента.
Не заполнен /etc/ald/ald.conf
ald-client join
— ОШИБКА:
Не удалось отправить широковещательное сообщение ‘bc-check-dc:.da’: Сеть недоступна
—
— ПРЕДУПРЕЖДЕНИЕ:
ALD сервер домена ‘.da’ не обнаружен.
—
— ОШИБКА:
Не удалось отправить широковещательное сообщение ‘bc-check-dc:.da’: Сеть недоступна
—
Не указан gateway в настройках сети клиента.
ald-client status
— ОШИБКА:
Не удалось отправить широковещательное сообщение ‘bc-check-dc:.da’: Сеть недоступна
—
— ПРЕДУПРЕЖДЕНИЕ:
ALD сервер домена ‘.da’ не обнаружен.
—
Не указан gateway в настройках сети клиента.
ald-client join server.da
— ПРЕДУПРЕЖДЕНИЕ:
Ошибка разрешения имени компьютера ‘server.da’.
—
Некорректно настроены имя и ip адрес, например в /etc/hosts отсутствует длинное имя машин:
127.0.0.1 localhost 192.168.1.1 myserver 192.168.1.2 client
ald-init init
— ОШИБКА:
Триггер ‘ald-cfg-nfs:DoNFSInitFS’ вызвал исключение!
Ошибка RPC: Ошибка Krb5 сервера ALD: Ошибка проверки сообщения KRB-PRIV. в ADKrb5Server.cpp:248(decode)
:> Incorrect net address
:> (rpc-creds)
—
Ошибка может быть вызвана применением антивируса или изменением правил iptables.
ald-init init или ald-client join
— ОШИБКА: Ошибка аутентификации пользователя ‘admin/admin’: Ошибка MIT Kerberos V5:
Ошибка инициализации интерфейса администрирования kadm5. в ALDKadm5Connection.cpp:345(ConnectPassword)
:> GSS-API (or Kerberos) error
—
Некорректно настроены имя и ip адрес, например в /etc/hosts (разрешение имен может быть настроено и с помощью сервера DNS) следует указать ip, длинное и короткое имя и исключить запись «127.0.1.1 myserver»:
127.0.0.1 localhost 192.168.1.1 myserver.example.ru myserver 192.168.1.2 client.example.ru client
В /etc/ald/ald.conf не указаны длинное имя машины и домен:
DOMAIN=.example.ru SERVER=myserver.example.ru
Недостаточно энтропии во время инициализации домена.
- При вводе клиента (ald-client join), ошибка(345) возникает из-за несовпадения времени на машинах.
Утилита hostname должна выдавать короткое имя. После внесения изменений в файл /etc/hostname необходимо перезагрузить машину.
ald-init init или ald-client join
— ОШИБКА:
Ошибка OpenLDAP при GSSAPI соединения — Local error в ALDLDapConnection.cpp:734(Connect)
:> SASL(1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server ldap/dc.test.test not found in Kerberos database)
—
Разрешение имен настроено не верно, перепутаны местами длинное и короткое имя, пример:
127.0.0.1 localhost 192.168.1.1 myserver myserver.example.ru 192.168.1.2 client client.example.ru
ald-admin test-integrity —admin=ald-admin
Вход от имени пользователя ‘ald-admin’…
Введите пароль администратора ALD ‘ald-admin’: *
Проверка конфигурации домена…………………………….ok
Проверка модулей LDAP…………………………………..ok
Проверка индексов LDAP………………………………….ok
Проверка ограничений уникальности LDAP……………………ok
Проверка системных принципалов…………………………..— ОШИБКА:
Ошибка RPC: Ошибка MIT Kerberos V5: Не удалось получить список принципалов Kerberos. в ALDKadm5Connection.cpp:924(Principals)
:> Operation requires «list» privilege
:> (rpc-princ-list)
—
После добавления astra-admin в ALLOWED_LOCAL_GROUPS и выполнения ald-init commit-config снять права администратора домена, применить, установить права администратора домена, применить.
- При выполнении: ald-client commit-config
— ОШИБКА:
Ошибка OpenLDAP при запросе ‘cn=client.ru,ou=hosts,dc=ru (objectClass=x-ald-host-object)’ — Can’tcontact LDAP server в ALDLdapConnection.cpp:213(Search)
—
На клиенте в файле /etc/hosts не внесены данные о резервном сервере.
Environment
- Red Hat Enterprise Linux 5
Issue
Running kadmin on a client system produces the following failure:
# kadmin -p root/admin
kadmin: Communication failure with server while initializing kadmin interface
Resolution
Looking at the krb5.conf file revealed a typo in the following section:
[realms]
SERVER119.EXAMPLE.COM = {
kdc = 192.168.0.119:88
admin_server = 192.168.0.119::749 <------------- Here we can see the double "::" when it should be only one ":"
default_domain = example.com
}
Fixing that solved the issue.
Diagnostic Steps
To diagnose that we checked:
1. kdc.conf, kadm5.acl files located in /var/kerberos/krb5kdc/ directory for misconfiguration.
2. Doublechecked the entries in the /etc/hosts files on the server and the client.
3. Made sure that we have the correct host name (IP_addr) for the master KDC in krb5.conf file.
4. Made sure that kadmind is running on the master KDC.
-
Product(s)
- Red Hat Enterprise Linux
-
Component
- krb5
-
Category
- Troubleshoot
-
Tags
- rhel_5
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
0
1
Добрый день, чайник, изучаю линуксы, собрался сделать прокси сервер с авторизацией через AD, делаю по инструкции ( http://www.zonepc.ru/avtorizaciya-squid-v-active-directory-cherez-kerberos/ ), возникла проблема на этапе проверки кейтаба, кейтаб генерировал следующим образом:
ktpass -princ HTTP/sproxy.ssoft.local@SSOFT.LOCAL -mapuser squid@ssoft.local -crypto RC4-HMAC-NT -pass 593021 -ptype KRB5_NT_PRINCIPAL -out sproxy.keytabsproxy- прокси сервер
ssoft.local- домен
Прокси сервер прописан на днс, пользователь squid создан на ад
Далее даю команду
kinit -V -k -t /etc/krb5.keytab HTTP/sproxy.ssoft.local@SSOFT.LOCALНа что получаю
Using default cache: /tmp/krb5cc_0
Using principal: HTTP/sproxy.ssoft.local@SSOFT.LOCAL
Using keytab: /etc/krb5.keytab
kinit: Client not found in Kerberos database while getting initial credentialsПри простом kinit рандомный юзер ад всё ок, нагуглил, что это означает, что на ад не найден пользователь
Мой конфиг кербероса:
[appdefaults]
pam = {
debug = false
alt_auth_map = %s
force_alt_auth = true
ticket_lifetime = 24h
renew_lifetime = 24h
forwardable = true
krb4_convert = false
}
[libdefaults]
default_realm = SSOFT.LOCAL
ticket_lifetieme = 24h
dns_lookup_realm = false
dns_lookup_kdc = false
kdc_timesync = 1
ccache_type = 4
forwardable = yes
rdns = no
# proxiable = true
default_keytab_name = /etc/krb5.keytab
default_tgs_enctypes = des-cbc-crc rc4-hmac des-cbc-md5
default_tkt_enctypes = des-cbc-crc rc4-hmac des-cbc-md5
permitted_enctypes = des-cbc-crc rc4-hmac des-cbc-md5
clock_skew = 300
[realms]
SSOFT.LOCAL = {
kdc = 192.168.0.122:88
admin_server = 192.168.0.122:749
default_domain = SSOFT.LOCAL
}
[domain_realm]
.ssoft.local = SSOFT.LOCAL
ssoft.local = SSOFT.LOCAL
[logging]
default = FILE:/var/log/krb5lib.log
kdc = FILE:/var/log/krb5kdc.log
kdc = SYSLOG:INFO AEMON
admin_server = FILE:/var/log/kadmin.logПрошу помощи, гуглил 2 дня.
Мне нужно настроить безопасность Kerberos, но при запуске службы kadmin я получаю следующую ошибку.
service kadmin start
Starting Kerberos 5 Admin Server: kadmind: Cannot set GSS-API authentication names.[FAILED]
4 ответа
Вы дали ему точное имя файла и поместили его здесь принципы keytab?
ktadd -k /var/kerberos/krb5kdc/kadm5.keytab kadmin/admin kadmin/changepw
3
YakovL
17 Сен 2017 в 02:42
Проверьте /etc/krb5.conf. Оставьте только default_realm в libdefaults и повторите попытку:
[libdefaults]
default_realm = EXAMPLE.COM
0
pyOwner
7 Фев 2019 в 18:43
Столкнулся с той же проблемой. Кажется, прямая команда «/usr/sbin/kadmind -P /var/run/kadmind.pid» работает хорошо
-1
ptriboll
8 Сен 2015 в 18:17
Введите kinit, а затем введите пароль текущего пользователя, чтобы инициировать аутентификацию.
0
Xinran Yu
11 Сен 2018 в 19:14
I’m having problems setting up Single Sign On on my Mac (Snow Leopard). My program was giving the error
accept_sec_context: Unspecified GSS failure. Minor code may provide more information:
Key table entry not found (000d0000:96c73ab5)
When using the Mac built in library (/usr/lib/libgssapi_krb.dylib). It works fine with Likewise.
I’d set up an identity for myself in Ticket Viewer, and issued a ticket. I’m now trying to go through the set up process manually from the terminal. So far so good, up until I get to the Install the Slave KDCs step, where I can’t start kadmin. I get the following output:
$ kadmin
Authenticating as principal me/admin@CORP.ORG with password.
kadmin: Client not found in Kerberos database while initializing kadmin interface
I added myself to the keytab using ktadd in kadmin.local, but this hasn’t worked. I’m stumped as to how to progress from here.
Update
Running kadmin -p me prompts me for my password, but still rejects me with error:
kadmin: Database error! Required KADM5 principal missing while initializing kadmin interface
I have kerberos installed on my Windows Active Directory server however I cannot connect to KAdmin in UNIX.
I’m able to create users and principals in Windows, export keytabs to remote linux servers and then kinit successfully.
However, I want to make sure that the keytabs have maxrenewlife and allow_renewable set as I don’t think my keytabs are being renewed successfully.
1) How do I set these properties on the Windows AD machine?
I believe this can be done via the kadmin interface but I can’t connect to it.
root@dagobah:# kadmin -p pele/dagobah@AD.PRIVATE
Authenticating as principal kadmin/dagobah@AD.PRIVATE with password.
Password for kadmin/dagobah@AD.PRIVATE:
Password for kadmin/dagobah@AD.PRIVATE:
kadmin: Database error! Required KADM5 principal missing while initializing kadmin interface
So following this post — https://security.stackexchange.com/questions/7698/kadmin-problem-client-not-found-in-kerberos-database-while-initializing-kadmin — I created the kadmin/dagobah & kadmin/admin principals and retried:
root@dagobah:/etc/security/keytabs# kinit kadmin
Password for kadmin@AD.HADOOP.PRIVATE:
root@dagobah:/etc/security/keytabs# kadmin
Authenticating as principal kadmin/admin@AD.PRIVATE with password.
Password for kadmin/admin@AD.PRIVATE:
Password for kadmin/admin@AD.PRIVATE:
kadmin: Communication failure with server while initializing kadmin interface
2) How do I connect to Kadmin?