Configurar SASL con kerberos

1

Esta es la primera vez que configuro SASL, y estoy perdido.

Tengo un samba 4 como controlador AD y he instalado kerberos. kinit ya tiene éxito, pero SASL no puede autenticar nada

He intentado establecer como kerberos, y el error es este:

root @ mail: / usr / lib / sasl2 # saslauthd -a kerberos5 -d
saslauthd [20269]: main: num_procs: 5
saslauthd [20269]: main: mech_option: NULL
saslauthd [20269]: main: run_path: / var / run / saslauthd
saslauthd [20269]: principal: auth_mech: kerberos5
saslauthd [20269]: ipc_init: usando el archivo de bloqueo de aceptación: /var/run/saslauthd/mux.accept
saslauthd [20269]: detach_tty: master pid es: 0
saslauthd [20269]: ipc_init: escuchando en el socket: / var / run / saslauthd / mux
saslauthd [20269]: principal: uso del modelo de proceso
saslauthd [20269]: have_baby: niño bifurcado: 20270
saslauthd [20270]: get_accept_lock: adquirido aceptar bloqueo
saslauthd [20269]: have_baby: niño bifurcado: 20271
saslauthd [20269]: have_baby: niño bifurcado: 20272
saslauthd [20269]: have_baby: niño bifurcado: 20273
saslauthd [20270]: rel_accept_lock: liberado aceptar bloqueo
saslauthd [20271]: get_accept_lock: adquirió el bloqueo de aceptación
saslauthd [20270]: do_auth: falla de autenticación: [usuario = prd] [servicio = imap] [reino = innowareindonesia.co.id] [mech = kerberos5] [motivo = error interno de saslauthd]

cuando intento usar LDAP, el error es este:

root @ mail: / usr / lib / sasl2 # saslauthd -a ldap -d
saslauthd [20275]: main: num_procs: 5
saslauthd [20275]: main: mech_option: NULL
saslauthd [20275]: main: run_path: / var / run / saslauthd
saslauthd [20275]: principal: auth_mech: ldap
saslauthd [20275]: ipc_init: usando el archivo de bloqueo de aceptación: /var/run/saslauthd/mux.accept
saslauthd [20275]: detach_tty: master pid es: 0
saslauthd [20275]: ipc_init: escuchando en el socket: / var / run / saslauthd / mux
saslauthd [20275]: main: uso del modelo de proceso
saslauthd [20275]: have_baby: niño bifurcado: 20276
saslauthd [20276]: get_accept_lock: adquirido aceptar bloqueo
saslauthd [20275]: have_baby: niño bifurcado: 20277
saslauthd [20275]: have_baby: niño bifurcado: 20278
saslauthd [20275]: have_baby: niño bifurcado: 20279
saslauthd [20276]: rel_accept_lock: liberado aceptar bloqueo
saslauthd [20277]: get_accept_lock: adquirió el bloqueo de aceptación
saslauthd [20276]: do_auth: error de autenticación: [usuario = prd] [servicio = imap] [reino = innowareindonesia.co.id] [mech = ldap] [motivo = Desconocido]
saslauthd [20276]: do_request: respuesta: NO

este es mi /etc/saslauthd.conf

root @ mail: / usr / lib / sasl2 # cat /etc/saslauthd.conf
ldap_servers: ldaps: //auth.innowareindonesia.co.id: 636 /
ldap_version: 3
ldap_auth_method: enlace
ldap_search_base: cn = Usuarios, dc = innowareindonesia, dc = co, dc = id
ldap_filter: (| (UserPrincipalName =% u) (sAMAccountName =% u))
ldap_scope: sub

este es el resultado de mi pluginviewer

root @ mail: / usr / lib / sasl2 # saslpluginviewer
Los mecanismos auxiliares instalados y configurados correctamente son:
sasldb sasldb
La lista de complementos auxprop sigue
Plugin "sasldb", versión API: 8
        admite tienda: sí

Plugin "sasldb", versión API: 8
        admite tienda: sí

Los mecanismos SASL (del lado del servidor) instalados y configurados correctamente son:
  GS2-IAKERB GS2-KRB5 SCRAM-SHA-1 GS2-IAKERB GS2-KRB5 SCRAM-SHA-1 GSSAPI GSSAPI DIGEST-MD5 DIGEST-MD5 CRAM-EXTERNO CRAM-MD5 NTLM CRAM-MD5 NTLM LLANO INICIALIZACIÓN ANÓNIMO ANÓNIMO
Los mecanismos SASL (del lado del servidor) disponibles que coinciden con sus criterios son:
  GS2-IAKERB GS2-KRB5 SCRAM-SHA-1 GS2-IAKERB GS2-KRB5 SCRAM-SHA-1 GSSAPI GSSAPI DIGEST-MD5 DIGEST-MD5 CRAM-MD5 NTLM CRAM-MD5 NTLM LOGIN LISO LISO INGRESO ANÓNIMO ANÓNIMO ANÓNIMO
La lista de complementos del servidor sigue
Plugin "gs2" [cargado], versión API: 4
        Mecanismo SASL: GS2-IAKERB, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | GSS_FRAMING | CHANNEL_BINDING
Plugin "gs2" [cargado], versión API: 4
        Mecanismo SASL: GS2-IAKERB, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | GSS_FRAMING | CHANNEL_BINDING
Plugin "gs2" [cargado], versión API: 4
        Mecanismo SASL: GS2-KRB5, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | GSS_FRAMING | CHANNEL_BINDING
Plugin "gs2" [cargado], versión API: 4
        Mecanismo SASL: GS2-KRB5, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | GSS_FRAMING | CHANNEL_BINDING
Plugin "scram" [cargado], versión API: 4
        Mecanismo SASL: SCRAM-SHA-1, mejor SSF: 0, admite setpass: sí
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | MUTUAL_AUTH
        características: PROXY_AUTHENTICATION | CHANNEL_BINDING
Plugin "scram" [cargado], versión API: 4
        Mecanismo SASL: SCRAM-SHA-1, mejor SSF: 0, admite setpass: sí
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | MUTUAL_AUTH
        características: PROXY_AUTHENTICATION | CHANNEL_BINDING
Plugin "gs2" [cargado], versión API: 4
        Mecanismo SASL: GS2-IAKERB, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | GSS_FRAMING | CHANNEL_BINDING
Plugin "gs2" [cargado], versión API: 4
        Mecanismo SASL: GS2-IAKERB, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | GSS_FRAMING | CHANNEL_BINDING
Plugin "gs2" [cargado], versión API: 4
        Mecanismo SASL: GS2-KRB5, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | GSS_FRAMING | CHANNEL_BINDING
Plugin "gs2" [cargado], versión API: 4
        Mecanismo SASL: GS2-KRB5, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | GSS_FRAMING | CHANNEL_BINDING
Plugin "scram" [cargado], versión API: 4
        Mecanismo SASL: SCRAM-SHA-1, mejor SSF: 0, admite setpass: sí
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | MUTUAL_AUTH
        características: PROXY_AUTHENTICATION | CHANNEL_BINDING
Plugin "scram" [cargado], versión API: 4
        Mecanismo SASL: SCRAM-SHA-1, mejor SSF: 0, admite setpass: sí
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | MUTUAL_AUTH
        características: PROXY_AUTHENTICATION | CHANNEL_BINDING
Plugin "gssapiv2" [cargado], versión API: 4
        Mecanismo SASL: GSSAPI, mejor SSF: 56, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION | DONTUSE_USERPASSWD
Plugin "gssapiv2" [cargado], versión API: 4
        Mecanismo SASL: GSSAPI, mejor SSF: 56, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION | DONTUSE_USERPASSWD
Plugin "gssapiv2" [cargado], versión API: 4
        Mecanismo SASL: GSSAPI, mejor SSF: 56, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION | DONTUSE_USERPASSWD
Plugin "gssapiv2" [cargado], versión API: 4
        Mecanismo SASL: GSSAPI, mejor SSF: 56, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION | DONTUSE_USERPASSWD
Plugin "digestmd5" [cargado], versión API: 4
        Mecanismo SASL: DIGEST-MD5, mejor SSF: 128, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | MUTUAL_AUTH
        características: PROXY_AUTHENTICATION | SUPPORTS_HTTP
Plugin "digestmd5" [cargado], versión API: 4
        Mecanismo SASL: DIGEST-MD5, mejor SSF: 128, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | MUTUAL_AUTH
        características: PROXY_AUTHENTICATION | SUPPORTS_HTTP
Plugin "digestmd5" [cargado], versión API: 4
        Mecanismo SASL: DIGEST-MD5, mejor SSF: 128, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | MUTUAL_AUTH
        características: PROXY_AUTHENTICATION | SUPPORTS_HTTP
Plugin "digestmd5" [cargado], versión API: 4
        Mecanismo SASL: DIGEST-MD5, mejor SSF: 128, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | MUTUAL_AUTH
        características: PROXY_AUTHENTICATION | SUPPORTS_HTTP
Plugin "crammd5" [cargado], versión API: 4
        Mecanismo SASL: CRAM-MD5, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT
        características: SERVER_FIRST
Plugin "crammd5" [cargado], versión API: 4
        Mecanismo SASL: CRAM-MD5, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT
        características: SERVER_FIRST
Plugin "ntlm" [cargado], versión API: 4
        Mecanismo SASL: NTLM, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT
        características: WANT_CLIENT_FIRST | SUPPORTS_HTTP
Plugin "ntlm" [cargado], versión API: 4
        Mecanismo SASL: NTLM, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT
        características: WANT_CLIENT_FIRST | SUPPORTS_HTTP
Plugin "crammd5" [cargado], versión API: 4
        Mecanismo SASL: CRAM-MD5, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT
        características: SERVER_FIRST
Plugin "crammd5" [cargado], versión API: 4
        Mecanismo SASL: CRAM-MD5, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT
        características: SERVER_FIRST
Plugin "ntlm" [cargado], versión API: 4
        Mecanismo SASL: NTLM, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT
        características: WANT_CLIENT_FIRST | SUPPORTS_HTTP
Plugin "ntlm" [cargado], versión API: 4
        Mecanismo SASL: NTLM, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT
        características: WANT_CLIENT_FIRST | SUPPORTS_HTTP
Plugin "simple" [cargado], versión API: 4
        Mecanismo SASL: LISO, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | PASS_CREDENTIALS
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION
Plugin "simple" [cargado], versión API: 4
        Mecanismo SASL: LISO, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | PASS_CREDENTIALS
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION
Plugin "login" [cargado], versión API: 4
        Mecanismo SASL: LOGIN, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | PASS_CREDENTIALS
        caracteristicas:
Plugin "login" [cargado], versión API: 4
        Mecanismo SASL: LOGIN, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | PASS_CREDENTIALS
        caracteristicas:
Plugin "simple" [cargado], versión API: 4
        Mecanismo SASL: LISO, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | PASS_CREDENTIALS
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION
Plugin "simple" [cargado], versión API: 4
        Mecanismo SASL: LISO, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | PASS_CREDENTIALS
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION
Plugin "login" [cargado], versión API: 4
        Mecanismo SASL: LOGIN, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | PASS_CREDENTIALS
        caracteristicas:
Plugin "login" [cargado], versión API: 4
        Mecanismo SASL: LOGIN, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_ANONYMOUS | PASS_CREDENTIALS
        caracteristicas:
Plugin "anónimo" [cargado], versión API: 4
        Mecanismo SASL: ANÓNIMO, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_PLAINTEXT
        características: WANT_CLIENT_FIRST | DONTUSE_USERPASSWD
Plugin "anónimo" [cargado], versión API: 4
        Mecanismo SASL: ANÓNIMO, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_PLAINTEXT
        características: WANT_CLIENT_FIRST | DONTUSE_USERPASSWD
Plugin "anónimo" [cargado], versión API: 4
        Mecanismo SASL: ANÓNIMO, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_PLAINTEXT
        características: WANT_CLIENT_FIRST | DONTUSE_USERPASSWD
Plugin "anónimo" [cargado], versión API: 4
        Mecanismo SASL: ANÓNIMO, mejor SSF: 0, admite setpass: no
        banderas de seguridad: NO_PLAINTEXT
        características: WANT_CLIENT_FIRST | DONTUSE_USERPASSWD
Los mecanismos SASL (del lado del cliente) instalados y configurados correctamente son:
  GS2-IAKERB GS2-KRB5 SCRAM-SHA-1 GS2-IAKERB GS2-KRB5 SCRAM-SHA-1 GSSAPI GSSAPI DIGEST-MD5 DIGEST-MD5 CRAM-EXTERNO CRAM-MD5 NTLM CRAM-MD5 NTLM LLANO INICIALIZACIÓN ANÓNIMO ANÓNIMO
Los mecanismos SASL (del lado del cliente) disponibles que coinciden con sus criterios son:
  GS2-IAKERB GS2-KRB5 SCRAM-SHA-1 GS2-IAKERB GS2-KRB5 SCRAM-SHA-1 GSSAPI GSSAPI DIGEST-MD5 DIGEST-MD5 CRAM-EXTERNO CRAM-MD5 NTLM CRAM-MD5 NTLM LLANO INICIALIZACIÓN ANÓNIMO ANÓNIMO
La lista de complementos del cliente sigue
Plugin "gs2" [cargado], versión API: 4
        Mecanismo SASL: GS2-IAKERB, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | NEED_SERVER_FQDN | GSS_FRAMING | CHANNEL_BINDING
Plugin "gs2" [cargado], versión API: 4
        Mecanismo SASL: GS2-KRB5, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | NEED_SERVER_FQDN | GSS_FRAMING | CHANNEL_BINDING
Plugin "scram" [cargado], versión API: 4
        Mecanismo SASL: SCRAM-SHA-1, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | MUTUAL_AUTH
        características: PROXY_AUTHENTICATION | CHANNEL_BINDING
Plugin "gs2" [cargado], versión API: 4
        Mecanismo SASL: GS2-IAKERB, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | NEED_SERVER_FQDN | GSS_FRAMING | CHANNEL_BINDING
Plugin "gs2" [cargado], versión API: 4
        Mecanismo SASL: GS2-KRB5, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | NEED_SERVER_FQDN | GSS_FRAMING | CHANNEL_BINDING
Plugin "scram" [cargado], versión API: 4
        Mecanismo SASL: SCRAM-SHA-1, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | MUTUAL_AUTH
        características: PROXY_AUTHENTICATION | CHANNEL_BINDING
Plugin "gssapiv2" [cargado], versión API: 4
        Mecanismo SASL: GSSAPI, mejor SSF: 56
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION | NEED_SERVER_FQDN
Plugin "gssapiv2" [cargado], versión API: 4
        Mecanismo SASL: GSSAPI, mejor SSF: 56
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_ACTIVE | PASS_CREDENTIALS | MUTUAL_AUTH
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION | NEED_SERVER_FQDN
Plugin "digestmd5" [cargado], versión API: 4
        Mecanismo SASL: DIGEST-MD5, mejor SSF: 128
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | MUTUAL_AUTH
        características: PROXY_AUTHENTICATION | NEED_SERVER_FQDN | SUPPORTS_HTTP
Plugin "digestmd5" [cargado], versión API: 4
        Mecanismo SASL: DIGEST-MD5, mejor SSF: 128
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | MUTUAL_AUTH
        características: PROXY_AUTHENTICATION | NEED_SERVER_FQDN | SUPPORTS_HTTP
Plugin "EXTERNO" [cargado], versión API: 4
        Mecanismo SASL: EXTERNO, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT | NO_DICTIONARY
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION
Plugin "crammd5" [cargado], versión API: 4
        Mecanismo SASL: CRAM-MD5, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT
        características: SERVER_FIRST
Plugin "ntlm" [cargado], versión API: 4
        Mecanismo SASL: NTLM, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT
        características: WANT_CLIENT_FIRST
Plugin "crammd5" [cargado], versión API: 4
        Mecanismo SASL: CRAM-MD5, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT
        características: SERVER_FIRST
Plugin "ntlm" [cargado], versión API: 4
        Mecanismo SASL: NTLM, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | NO_PLAINTEXT
        características: WANT_CLIENT_FIRST
Plugin "simple" [cargado], versión API: 4
        Mecanismo SASL: LISO, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | PASS_CREDENTIALS
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION
Plugin "login" [cargado], versión API: 4
        Mecanismo SASL: INICIAR SESIÓN, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | PASS_CREDENTIALS
        características: SERVER_FIRST
Plugin "simple" [cargado], versión API: 4
        Mecanismo SASL: LISO, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | PASS_CREDENTIALS
        características: WANT_CLIENT_FIRST | PROXY_AUTHENTICATION
Plugin "login" [cargado], versión API: 4
        Mecanismo SASL: INICIAR SESIÓN, mejor SSF: 0
        banderas de seguridad: NO_ANONYMOUS | PASS_CREDENTIALS
        características: SERVER_FIRST
Plugin "anónimo" [cargado], versión API: 4
        Mecanismo SASL: ANÓNIMO, mejor SSF: 0
        banderas de seguridad: NO_PLAINTEXT
        características: WANT_CLIENT_FIRST
Plugin "anónimo" [cargado], versión API: 4
        Mecanismo SASL: ANÓNIMO, mejor SSF: 0
        banderas de seguridad: NO_PLAINTEXT
        características: WANT_CLIENT_FIRST

¿Puede ayudarme alguien, por favor? Porque ya me estoy poniendo el pelo en esto durante 3 meses, y a punto de romper mi monitor. No sé qué está pasando, y no sé dónde encontrar nada. Sin depuración, sin registro, sin rastro, sin nada que pueda hablarme de lo que sucedió, simplemente dijo "error" y "desconocido" sin especificar qué error o dejarme saber de dónde viene este error, y Google no me dio nada.

Quiero saber qué está pasando y qué está mal. ¿Cómo habilitar la depuración, cómo hacer que saslauthd me hable de lo que está pasando?

Y no hay tráfico enviado afuera. tcpdump no muestra nada. Supongo que esto es puramente configuración sasl.

prd
fuente
1
Si su Krb5 es lo suficientemente reciente, exporte KRB5_TRACE=/dev/stderrantes de iniciar saslauthd. Además, si está preguntando acerca de Kerberos, entonces la configuración de LDAP en saslauthd.conf es irrelevante ...
Grawity
Wow ... gracias ... si pones esto como respuesta, votaré por ello. Deberían poner esto en su documentación. Parece que kerberos no pudo encontrar mi tabla de entrada. Puedo arreglar eso yo mismo. Una vez más, gracias.
PRD

Respuestas:

1

Quiero saber qué está pasando y qué está mal. ¿Cómo habilitar la depuración, cómo hacer que saslauthd me hable de lo que está pasando?

Las versiones recientes de MIT Kerberos 5 (1.9 y superiores) admiten la KRB5_TRACEvariable de entorno para registros detallados de Krb5 y GSSAPI. Exporte KRB5_TRACE="/dev/stderr"antes de iniciar saslauthd y mostrará el estado del servidor.

(Nota: Heimdal Kerberos todavía no lo admite).

Otro enfoque es la straceherramienta, que muestra las llamadas al sistema realizadas por un proceso. Por ejemplo, le mostrará si saslauthd intenta abrir un archivo pero recibe un código de error:

open("/etc/krb5.keytab", O_RDONLY)      = -1 EACCES (Permission denied)

Si bien strace es solo para Linux, otros sistemas operativos tienen alternativas: ktrace, dtrace, truss ...

Finalmente, uno podría compilar el libsasl de Cyrus desde la fuente, agregando mensajes de error personalizados por todas partes y repetir hasta que se encuentre el problema (también conocido como "depuración de printf").

Gravedad
fuente