El día 5 de marzo de 2012 06:09, Arturo Borrero Gonzalez <cer.i...@linuxmail.org> escribió: > Hola! > > Estoy usando el paquete krb5-kdc-ldap para que mi kerberos use como > base de datos de principales un servidor LDAP. > Siguiendo los manuales tanto de Debian como de Ubuntu, me encuentro > con un problema que no soy capaz de solucionar y que comento aquí: > > · He poblado el arbol LDAP usado la utilidad "kdb5_ldap_util", tal y > como se explica en los procedimientos. Revisando mi LDAP, los cambios > que se han hecho al directorio son evidentes. > · He creado los passwords para que Kerberos pueda consultar al LDAP > con las credenciales necesarias. > · Cuando intento inicializar la interfaz de administración, con > kadmin.local, recibo el siguiente mensaje de error: > > kadmind[26023](Error): Can not fetch master key (error: Cannot > find/read stored master key). while initializing, aborting
Lo raro es que en la configuracion no tenes definido llaves pero aparentemente el error es un erro de llave > > Lo mismo cuando intento iniciar el servicio en /etc/init.d. En ambos > caso, el servidor LDAP recibe consultas de el servidor kerberos. > > krb5kdc: Can not fetch master key (error: Cannot find/read stored > master key). - while fetching master key K/M for realm EXAMPLE.ES > > Con lo cual, llego a la conclusión de que: 1) En el LDAP no está toda > la información que debería, por cualquier motivo (un bug?), 2) Hay > algo que no he entendido del procedimiento. > > Mi configuración es la siguiente: > ################## > cat /etc/krb5.conf > > [libdefaults] > default_realm = EXAMPLE.ES > forwadable = true > proxiable = true > > [realms] > > EXAMPLE.ES = { > kdc = krb-krb.example.es > admin_server = krb-krb.example.es > default_domain = example.es > database_module = openldap_ldapconf > } > > [domain_realm] > .example.es = example.ES > example.es = example.ES > > [login] > krb4_convert = true > krb4_get_tickets = false > > [logging] > kdc = FILE:/var/log/kerberos/krb5kdc.log > admin_server = FILE:/var/log/kerberos/kadmin.log > default = FILE:/var/log/kerberos/krb5lib.log > > [dbdefaults] > ldap_kerberos_container_dn = ou=krb5,dc=example,dc=es > > [dbmodules] > openldap_ldapconf = { > db_library = kldap > ldap_kdc_dn = "cn=admin,dc=example,dc=es" > > # this object needs to have read rights on > # the realm container, principal container and realm sub-trees > ldap_kadmind_dn = "cn=admin,dc=example,dc=es" > > # this object needs to have read and write rights on > # the realm container, principal container and realm sub-trees > ldap_service_password_file = /etc/krb5kdc/service.keyfile > ldap_servers = ldap://krb-ldap.example.es > ldap_conns_per_server = 5 > } > > ################## > > cat /etc/krb5kdc/kdc.conf > > [kdcdefaults] > kdc_ports = 750,88 > > [realms] > example.ES = { > database_name = /var/lib/krb5kdc/principal > acl_file = /etc/krb5kdc/kadm5.acl > key_stash_file = /etc/krb5kdc/service.keyfile > kdc_ports = 750,88 > max_life = 10h 0m 0s > max_renewable_life = 7d 0h 0m 0s > master_key_type = des3-hmac-sha1 > supported_enctypes = aes256-cts:normal arcfour-hmac:normal > des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm > des:onlyrealm des:$ > default_principal_flags = +preauth > } > > > ###################### > > Debug de kadmin.local (strace) son muchas lineas, así que uso pastebin: > http://pastebin.com/h7fLYFKD > > ¿Alguna idea? > > Un saludo. > > -- > /* Arturo Borrero Gonzalez || cer.i...@linuxmail.org */ > /* Use debian gnu/linux! Best OS ever! */ > > > -- > To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org > with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org > Archive: > http://lists.debian.org/capfcjasykegabhvmnpaaktcxbfq3rsgl3rmjabktwbizag7...@mail.gmail.com > -- MrIX Linux user number 412793. http://counter.li.org/ las grandes obras, las sueñan los santos locos, las realizan los luchadores natos, las aprovechan los felices cuerdo, y las critican los inútiles crónicos, -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CALvB54ZfpHXKAzn2ukyzWJ=y=6o5n01ffx7nvdyk9qnqzgi...@mail.gmail.com