staging.inyokaproject.org

Moin zusammen,

nach dem Update eines meiner Server von Ubuntu 18.04 auf 20.04 startet zwar noch der krb5-kdc, aber nicht mehr der krb5-admin-server. Nachdem ich mir nun im Netz erfolglos einen Wolf gesucht, versuche ich es hier. 'systemctl status krb5-admin-server' sagt:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

root@hermes:/etc/krb5kdc# systemctl status krb5-admin-server
● krb5-admin-server.service - Kerberos 5 Admin Server
     Loaded: loaded (/lib/systemd/system/krb5-admin-server.service; enabled; vendor preset: enabled)
    Drop-In: /lib/systemd/system/krb5-admin-server.service.d
             └─slapd-before-kdc.conf
     Active: failed (Result: exit-code) since Sun 2020-05-24 16:32:45 CEST; 5s ago
    Process: 44480 ExecStart=/usr/sbin/kadmind -nofork $DAEMON_ARGS (code=exited, status=1/FAILURE)
   Main PID: 44480 (code=exited, status=1/FAILURE)

Mai 24 16:32:45 hermes systemd[1]: Started Kerberos 5 Admin Server.
Mai 24 16:32:45 hermes kadmind[44480]: Couldn't open log file /var/log/kdc_admin_server.log: Read-only file system
Mai 24 16:32:45 hermes kadmind[44480]: kadmind: Required parameters in kdc.conf missing while initializing, aborting
Mai 24 16:32:45 hermes kadmind[44480]: Required parameters in kdc.conf missing while initializing, aborting
Mai 24 16:32:45 hermes systemd[1]: krb5-admin-server.service: Main process exited, code=exited, status=1/FAILURE
Mai 24 16:32:45 hermes systemd[1]: krb5-admin-server.service: Failed with result 'exit-code'.

Zwei Dinge sind dabei auffällig: natürlich ist /var/log nicht read-only, und ich finde nicht raus, welche Parameter in der kdc.conf nun plötzlich fehlen sollen. Ich habe dann die Logfiles vorübergehend nach /tmp geschoben und die entsprechenden Fehlermeldungen sind verschwunden, aber das hat nichts am Verhalten des krb5-admin-servers geändert. In der kdc.conf steht:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

root@hermes:/etc/krb5kdc# cat kdc.conf 
[kdcdefaults]
    kdc_ports = 88

[realms]
    FOO.BAR = {
	database_name = /var/lib/krb5kdc/principal
	acl_file = /etc/krb5kdc/kadm5.acl
	key_stash_file = /etc/krb5kdc/stash
	max_life = 10h 0m 0s
	max_renewable_life = 7d 0h 0m 0s
	master_key_type = des3-hmac-sha1
	supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
	default_principal_flags = +preauth
    }

[logging]
    kdc = FILE:/var/log/kdc.log
    # kdc = SYSLOG:DEBUG:DAEMON
    admin_server = FILE:/var/log/kdc_admin_server.log

Weitere benötigte Informationen liefere ich gerne. Kann jemand helfen?

Danke und viele Grüße

fauxxami

Schau mal https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=931366

Ich habe geschaut:

Schau mal https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=931366

Vielen Dank - ich hatte eher nach den fehlenden Parametern als nach dem Log-Problem gesucht, aber das hat auf jeden Fall schon mal geholfen, diese Fehlermeldung zu beseitigen. Die Logdateien werden wieder korrekt beschrieben. Leider aber bleibt der andere Fehler:

1

Mai 24 17:44:48 hermes kadmind[45428](Error): Required parameters in kdc.conf missing while initializing, aborting

Ich habe soeben auch die Original-MIT-Doku noch mal gewälzt, finde aber immer nur Hinweise auf Parameter, die da sein KÖNNEN. Die, von denen ich meine, dass sie da sein MÜSSEN, sind auch da. Und unter 16.04 und 18.04 lief Kerberos bei mir einwandfrei.

Ich habe soeben auch die Original-MIT-Doku noch mal gewälzt ...

Laut http://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files/kdc_conf.html fehlen bei dir aber Sektionen in der kdc.conf. Vielleicht will die neue Version diese zwingend.

Nachtrag: Ganz unten steht eine Beispiel-Datei.

Laut http://web.mit.edu/kerberos/krb5-latest/doc/admin/conf_files/kdc_conf.html fehlen bei dir aber Sektionen in der kdc.conf. Vielleicht will die neue Version diese zwingend.

Über den Sektionen steht aber: "The kdc.conf file may contain the following sections" ... und "may" heißt ja nicht "must".

Nachtrag: Ganz unten steht eine Beispiel-Datei.

Habe ich gesehen - ich baue jetzt mal alle Sektionen ein, die da auch drinstehen, vielleicht hilft es. Auf jeden Fall vielen Dank für's Mitdenken!

EDIT: Hat nicht geholfen. ☹

Problem gelöst: ich bin irgendwann auf die Idee gekommen, nach einer Beispiel-Datei kdc.conf unterhalb von /usr/share/doc/krb5-kdc zu suchen und wurde fündig. Darin fiel mir auf, dass die Zeile mit den "supported_enctypes" auskommentiert war. Das habe ich bei mir genauso gemacht und siehe da, der Service startet ohne Mucken. Die Fehlermeldung war ein wenig irreführend, denn offenbar waren es nicht fehlende, sondern überschüssige Angaben.