Univention Bugzilla – Bug 24315
Host Keytab nach Änderung des Maschinenpassworts offenbar defekt
Last modified: 2013-11-19 06:44:21 CET
Es ist intern aufgetreten, dass eine passwortlose SSH-Verbindung über Kerberos auf Memberserver nicht mehr möglich war. Tickets waren auf beiden Seiten vorhanden, krsh, etc. möglich. SSH-Debugging auf Server-Seite hat folgende Fehlermeldung ergeben: """ debug1: userauth-request for user (USER edit) service ssh-connection method gssapi-with-mic debug1: attempt 1 failures 0 Postponed gssapi-with-mic for (USER edit) from (KDC Server edit) port 46099 ssh2 debug1: Unspecified GSS failure. Minor code may provide more information Bad encryption type debug1: Got no client credentials """ Das Problem konnte durch ein Neuerzeugen der entsprechenden Keytabs gelöst werden. Unklar ist hier aber, wodurch die Keytabs "zerstört" wurden. Der Timestamp der "defekten" Keytabs deutet darauf hin, dass Sie vom entsprechenden Listener-Modul beim Rotieren der Maschinenpasswörter aktualisiert wurden. Schaut man sich die Keytabs an, stellt man fest, dass mindestens zwei Versionen eingetragen sind: """ Vno Type Principal 62 aes256-cts-hmac-sha1-96 host/(...) 62 aes128-cts-hmac-sha1-96 host/(...) 62 des3-cbc-sha1 host/(...) 62 des3-cbc-md5 host/(...) 62 arcfour-hmac-md5 host/(...) 62 des-cbc-md5 host/(...) 62 des-cbc-md4 host/(...) 62 des-cbc-crc host/(...) 62 aes256-cts-hmac-sha1-96 host/(...) 62 aes128-cts-hmac-sha1-96 host/(...) 62 des3-cbc-sha1 host/(...) 62 des3-cbc-md5 host/(...) 62 arcfour-hmac-md5 host/(...) 62 des-cbc-md5 host/(...) 62 des-cbc-md4 host/(...) 62 des-cbc-crc host/(...) 63 aes256-cts-hmac-sha1-96 host/(...) 63 aes128-cts-hmac-sha1-96 host/(...) 63 des3-cbc-sha1 host/(...) 63 des3-cbc-md5 host/(...) 63 arcfour-hmac-md5 host/(...) 63 des-cbc-md5 host/(...) 63 des-cbc-md4 host/(...) 63 des-cbc-crc host/(...) """ Löscht man mit ktutil die alte Version (62), funktioniert die Keytab wieder. Es sollte einmal geprüft werden, ob es sich hierbei um einen Bug handelt - bei näheren Informationen bitte direkt an mich wenden.
Siehe hierzu auch das entpsrechende Ticket #2011102421004113
*** Bug 24188 has been marked as a duplicate of this bug. ***
Prüfung zu 3.1-2, IMHO ist dass Problem behoben. Oder tritt es lokal noch auf?
We will not ship a UCS 3.1-2 release; the next UCS release will be UCS 3.2. As such, this bug is moved to the new target milestone.
Could not reproduce this in an UCS 3.1-1 environement. The keytab is created on the master by the listener module keytab-member.py and it removes the old keytab of the member first before extracting the new keys for the member. For this reason it's quite unusual that a previous key version appears at all. It's even more mysterious how two "variants" of the same key version found their way into the keytab. 2nd order weirdness.
OK
UCS 3.2 has been released: http://docs.univention.de/release-notes-3.2-en.html http://docs.univention.de/release-notes-3.2-de.html If this error occurs again, please use "Clone This Bug".