|
Anmeldungsdatum: Beiträge: 25 |
Hallo liebe Gemeinde, auf meinem Ubuntu 22.04 LTS poppt gerade mal wieder diese Meldung auf. Habe natürlich ein wenig gegoogelt, aber nichts aktuelles gefunden. Alle ratschläge (Google account löschen, etc..) treffen auf mich nicht zu. "Kerberos" hat was mit Sicherheit zu tun, daher bin ich ein wenig nerveous .... Weiß jemand Rat? Gruß, Holger |
|
Supporter
Anmeldungsdatum: Beiträge: 1303 |
Hallo kaengo, Kerberos ist ein verteiltes Authentisierungs-Verfahren, das auf Tickets basiert, die eine definierte Gültigkeitsdauer haben. Wenn du auf eine Applikation zugreifen willst, beantragst du die Ausstellung eines TGT (Ticket-Granting-Ticket) bei deinem "Authentication Service". Mit dem TGT bittest du den TGS (Ticket Granting Service) um die Ausstellung eines "Service-Tickets" für die Ziel-Applikation. Der TGS kennt die Schlüssel der Applikationen in seinem "realm" und schickt dir das Service-Ticket, das du an die Applikation zum berechtigten Zugriff verwenden kannst. Alle diese Tickets sind verschlüsselt und enthalten jeweils eine Gültigkeit. Vor etwas mehr als 25 Jahren hatte ich bei krb5 eine Laufzeit von 24h. Microsoft hat im Kontext des "Active Directory" die krb5 Konzeption vom MIT übernommen und mit einem LDAP verquickt. Die Gültigkeit des TGT ist dabei meist auf 10h reduziert worden. In diesem Zeitraum kann man das gleiche TGT verwenden um sich "Service-Tickets" ausstellen zu lassen. Wenn du dann vorher keinen Ticket-Refresh machst, tritt der von dir beobachtete Fehler auf. Es bedeutet, dass du dich erneut anmelden musst, um wieder ein legales TGT zu bekommen. Bei Microsoft werden die TGS usw in der Regel über die Domain-Controller implementiert. Wenn du ein anderes krb Environment verwendest, solltest du dir anschauen, wo die genannten Services gehostet werden. |
|
(Themenstarter)
Anmeldungsdatum: Beiträge: 25 |
Hallo Shiro, ja, sowas habe ich schon erfahren. Nur: Ich habe mein System nicht verquickt mit solchen accounts Ich nutze selten meinen Microsoft account, dafür starte ich edge browser. Ich nutze meinen google account (und ein paar mehr), dafür starte ich yandex browser Ich nutze evolution mit einem Server in Estland (garmtech) Aber ich habe mein Ubuntu mit keinem dieser Dienste verkoppelt. Ich habe mich nur zu Ubuntu Pro angemeldet. Daher ist mir das immer noch unklar, wor diese Meldung herkommt. Danke trotzdem erst einmal. Gruß, Holger |
|
Supporter
Anmeldungsdatum: Beiträge: 1303 |
Na, ganz aus dem Nichts kommen Kerberos-Tickets nicht. Du hast sie eventuell unwissentlich bei dir aktiviert. Du kannst z.B. Samba oder winbind im Kontext eines "Active Directory" verwenden und schon hast du Kerberos an Bord. Eigentlich funktioniert mittlerweile alles, was mit Authentifizierung bei Microsoft zu tun hat über die Kerberos Schiene. Eine Möglichkeit, sich anzeigen zu lassen, welche Kerberos Tickets du verwendest und somit auf den Ursprung zu schließen ist unter Linux das "kinit" Tool. Falls du es noch nicht installiert hast, kannst du dies mittels sudo apt install krb5-user bewerkstelligen. Als Hau-Ruck Lösung kannst du den Refresh der Kerberos Ticket erzwingen, indem du z.B. ein kinit -R in einem entsprechenden Intervall ausführen lässt (cron oder Ähnliches). Eine weiter Möglichkeit ist die Nutzung einer GNOME shell extension zum Refresh der Kerberos tickets (siehe https://extensions.gnome.org/extension/1165/kerberos-login/). Erfahrungsgemäß ist häufig bei Problemen mit Kerberos das DNS involviert. Hier würde sich eine Analyse meist lohnen. |
