Kerberos 키가 AutoFS에서 실패함

Kerberos 키가 AutoFS에서 실패함

우리의 쿠분투 머신은 AutoFS를 통해 네트워크 드라이브에 자동으로 연결되도록 구성되어 있습니다. 기계를 업그레이드할 때쿠바 화 18.04 LTS이 AutoFS 연결은 더 이상 유효하지 않습니다. Kubuntu 14.04 LTS 및 Kubuntu 16.04 LTS에서는 여전히 잘 작동합니다.

디버그 모드에서 autoFS(자동 마운트)를 실행했습니다.

자동 마운트-fd

..다음 오류가 발생합니다.

mount error(126): Required key not available
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)

klist를 사용하여 kerberos 키가 있는지 확인할 수 있지만 여전히 매핑되지 않습니다(왜?)

이제 약간의 장난 끝에 Kerberos 키는 이제 디버그 모드(automount -f -d)에서만 안정적으로 작동합니다. 서비스로 실행하는 경우(service autofs start) 전혀 작동하지 않습니다. 왜 디버그 모드에서만 작동하나요..?

daemon.log의 오류는 다음과 같습니다.

May 16 17:49:02 computer1234 cifs.upcall: get_cachename_from_process_env: pathname=/proc/1234/environ  
May 16 17:49:02 computer1234 cifs.upcall: get_existing_cc: default ccache is FILE:/tmp/krb5cc_12345678  
May 16 17:49:02 computer1234 cifs.upcall: get_tgt_time: unable to get principal  
May 16 17:49:02 computer1234 cifs.upcall: krb5_get_init_creds_keytab: -1765328174  
May 16 17:49:02 computer1234 cifs.upcall: Exit status 1

/etc/request-key.d/cifs.spnego.conf에 "-t"를 추가하려고 시도했지만 여전히 작동하지 않습니다.

비슷한 문제가 있으면 추가해 보세요.로깅="상세"또는로깅="디버그"/etc/autofs.conf에서 자세한 내용을 확인하세요.

어제 우리는 autofs가 다음 형식으로 명명된 Kerberos 티켓 파일을 찾고 있는 것을 확인했습니다.

/tmp/krb5cc_12345678

그러나 실제 Kerberos 티켓 파일 이름은 아래와 같이 끝에 7자가 더 있습니다.

/tmp/krb5cc_12345678_1A23B4

답변1

~에 따르면업데이트 2위의 문제는 autofs가 다음 형식으로 명명된 Kerberos 티켓을 찾고 있다는 것입니다.

 /tmp/krb5cc_12345678

그러나 실제 Kerberos 티켓의 이름은 다음 형식으로 지정됩니다.

/tmp/krb5cc_12345678_1A23B4

파일 이름을 수정하려면 /etc/sssd/sssd.conf를 편집하고 관련 도메인 섹션 아래에 다음을 추가합니다. 예: [domain/yourAD_ServerName] 아래

krb5_ccname_template=FILE:%d/krb5cc_%U

이러한 변경 사항을 적용하려면 재부팅해야 했습니다. sssd-secrets, sssd 및 autofs를 다시 시작해 보았지만 충분하지 않았습니다. 재부팅한 후에만 파일 이름 형식이 올바르게 지정되고 autofs가 Kubuntu 18.04 LTS에서 제대로 작동합니다.

관련 정보