Kerberos-PAM認証の失敗:pamまたは事前認証
kinit -p'username 'は機能します-Kerberosレルムのセットアップに問題はありません。
ただし、GUIからログインを取得できません。
クライアントauth.log:
pam_krb5(gdm3:auth): user <username> authenticated as <user>@<realm>
gkr-pam: error looking up user information
サーバーkrb5kdc.log:
Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11:
NEEDED_PREAUTH: <user>@<realm> for krbtgt/<realm>@<realm>, Additional
pre-authentication required
Oct 01 02:27:23 debian krb5kdc[6996](info): AS_REQ (4 etypes {18 17 16 23}) 10.0.0.11:
ISSUE: authtime 1412144843, etypes {rep=18 tkt=18 ses=18}, <user>@<realm> for
krbtgt/<realm>@<realm>
つまり、Kerberosサーバーは問題なくクライアントにチケットを発行しますが、GUIからのログインは機能しません。どんな考えでも本当にありがたいです!
クライアントとサーバーの両方がDebian 7.6.0 x86_64を実行しています。
注目すべき重要な行は次のとおりです。
gkr-pam: error looking up user information
認証が成功しても、必ずしもPAMによってアクセスが許可されるとは限りません。ユーザーはオペレーティングシステムによって認識される必要があり、アカウンティングチェック(PAMスタックのaccountモジュール)にも合格する必要があります。
上記のエラーは、ユーザーがシステムに存在しないことを示しています(コンソールから、getent passwd <username>およびgetent shadow <username>両方とも機能しますか?)、または構成したPAMモジュールの1つが、リモートソースからユーザーに関する情報を取得するのに問題があります。
調査をこの方向に集中させれば、問題を特定して修正できるはずです。