Тестирование версии 1.6

ingener

New member
Сообщения
166
#1
Тестируем с партнерами версию SE 1.6 и не могу подключить компьютер с версией 1.6 к контролеру домена с версией 1.5
ошибка возникает на при подключении к базе данных при вводе имени пользователя:
Введите имя пользователя для авторизации. Пользователь должен обладать правом добавления компьютера(ов) в БД ALD. Или нажмите Enter, чтобы войти как администратор ALD.
Имя:
LoginAdmin userId admin/admin, at 2, kadmin 1
LoginAdmin Need Reconnect
LoginAdmin try use ccache
CALDKadm5Connection::ConnectCreds []
<t> 0x5b4baded1930 { в ::CALDKrb5Internal::CloseCache()
LoginAdmin try use ccache error
Ошибка MIT Kerberos V5: Неверный или недоступный кеш аутентификационных данных krb5. в ALDKadm5Connection.cpp:559(ConnectCreds)
:> Malformed representation of principal
Введите пароль администратора ALD: *******
CALDKadm5Connection::ConnectPassword [admin/admin]
Change KRB5CCNAME from '' to 'MEMORY:admin_tickets.3675'
<t> 0x5b4baded1930 { в ::CALDKrb5Internal::CloseCache()
CloseCache 3 unset
Remove Kerberos ccache MEMORY:admin_tickets.3675
<t> 0x5b4baded07d0 { в ALDKadm5Connection::Disconnect(bool)
<t> 0x5b4baded0d40 { в ALDConnection::~CALDConnection()
CALDConnection::Disconnect 0x5b4baded0d40 krb5_count 1
-- ОШИБКА:
Ошибка аутентификации пользователя 'admin/admin': Ошибка MIT Kerberos V5: Ошибка инициализации аутентификационных данных krb5 пользователя. в ALDKadm5Connection.cpp:283(ConnectPassword)
:> Decrypt integrity check failed
--

Не удалось запустить клиент ALD.
 

Max

New member
Сообщения
16
#2
Тестируем с партнерами версию SE 1.6 и не могу подключить компьютер с версией 1.6 к контролеру домена с версией 1.5
ошибка возникает на при подключении к базе данных при вводе имени пользователя:
а как получить на тест версию 1.6??
 

MasterShkip

New member
Сообщения
21
#3
Тестируем с партнерами версию SE 1.6 и не могу подключить компьютер с версией 1.6 к контролеру домена с версией 1.5
ошибка возникает на при подключении к базе данных при вводе имени пользователя:
По совету одного из пользователей данного форума,я перекинул файл ald.conf с сервера на компьютер клиента и все заработало,может и у Вас так заработает.
 

ingener

New member
Сообщения
166
#4
разница файлов - в определении роли компьютера: или он сервер SERVER_ON=1, или он клиент CLIENT_ON=1. в остальном файлы идентичны. с переменной сервер и клиент игрался - безрезультатно.
может быть протоколы шифрования не подходят, я их урезал до минимума?
kdc.conf:
master_key_type = aes256-cts
supported_enctypes = aes256-cts:normal gost-cts:normal rc4-hmac:normal
а если запустить команду sudo ald-client join aldc --log-level=5, то после ввода имени администратора, выдается сообщение об ошибке:
Ошибка MIT Kerberos V5: Неверный или недоступный кеш аутентификационных данных krb5. в ALDKadm5Connection.cpp:559(ConnectCreds)
 
Последнее редактирование:

MasterShkip

New member
Сообщения
21
#5
разница файлов - в определении роли компьютера: или он сервер SERVER_ON=1, или он клиент CLIENT_ON=1. в остальном файлы идентичны. с переменной сервер и клиент игрался - безрезультатно.
может быть протоколы шифрования не подходят, я их урезал до минимума?
kdc.conf:
master_key_type = aes256-cts
supported_enctypes = aes256-cts:normal gost-cts:normal rc4-hmac:normal
а если запустить команду sudo ald-client join aldc --log-level=5, то после ввода имени администратора, выдается сообщение об ошибке:
Ошибка MIT Kerberos V5: Неверный или недоступный кеш аутентификационных данных krb5. в ALDKadm5Connection.cpp:559(ConnectCreds)
По шифрования ничего не могу Вам подсказать, потому как сам не разбирался в этом. Где то сталкивался с подключением разных версий Астры,возможно что даже на вики Астры. Попробуйте поглядеть тут: https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212491
 

ingener

New member
Сообщения
166
#9
Вопрос решился. нужна правильная конфигурация файла /etc/krb5.conf
сделал все по минимуму и заработало. рабочая версия файла конфигурации:
[libdefaults]
default_realm = AKO.KOSTROMA.GOV.RU
default_tgs_enctypes = gost-cts aes256-cts rc4-hmac
default_tkt_enctypes = gost-cts aes256-cts rc4-hmac
permitted_enctypes = gost-cts aes256-cts rc4-hmac

[login]
krb5_get_tickets = true
krb4_get_tickets = false
krb4_convert = false
krb_run_aklog = false

[realms]

XXX.YYYYYY.ZZZ.RU = {
kdc = aaa.xxx.yyyyyyy.zzz.ru
admin_server = aaa.xxx.yyyyyyy.zzz.ru
}

[domain_realm]
.aaa.xxx.yyyyyyy.zzz.ru= XXX.YYYYYY.ZZZ.RU
aaa.xxx.yyyyyyy.zzz.ru = XXX.YYYYYY.ZZZ.RU

[logging]
kdc = FILE:/var/log/kerberos/kdc.log
admin_server = FILE:/var/log/kerberos/kadmin_server.log

[appdefaults]
pam = {
minimum_uid = 2500
ignore_k5login = true
forwardable = true
}
 
Последнее редактирование:

ingener

New member
Сообщения
166
#11
это на клиенте 1.6 надо делать или на сервере 1.5?
на клиенте.
нужно подобрать правильно настройки шифрования
default_tgs_enctypes = gost-cts aes256-cts rc4-hmac
default_tkt_enctypes = gost-cts aes256-cts rc4-hmac
permitted_enctypes = gost-cts aes256-cts rc4-hmac


а еще поиграть с параметром USE_RPC файла конфигурации ALD