Сервер Kerberos и журналы

Я пытаюсь настроить сервер Kerberos и сталкиваюсь с какой-то проблемой с сообщением конфигурации. К сожалению, демон отказывается сказать мне, что пошло не так; он говорит мне "посмотреть файл журнала", но никогда не упоминает что файл журнала.

 # service krb5-kdc start
 krb5kdc: cannot initialize realm EXAMPLE.COM - see log file for details
 # ls /var/log/k*
 /var/log/kern.log
 # krb5kdc
 krb5kdc: cannot initialize realm EXAMPLE.COM - see log file for details
 # strace krb5kdc 2>&1 | grep write
 write(2, "krb5kdc: cannot initialize realm"..., 72krb5kdc: cannot initialize realm EXAMPLE.COM - see log file for details
 #

лжет ли он мне? Существует ли файл журнала?

19
задан Thanatos
17.11.2022 11:45 Количество просмотров материала 2600
Распечатать страницу

2 ответа

/var/log/auth.log. Я бы никогда не посмотрела туда.

вот как я его нашел:

  1. и sendto в выводе strace, который начинался с даты / времени, как мог бы иметь журнал.
  2. выделил его:

    # strace krb5kdc -n 2>&1 | grep sendto
    sendto(3, "<35>Feb 13 17:43:41 krb5kdc[2400"..., 115, MSG_NOSIGNAL, NULL, 0) = 115
    
  3. Поиск вызова socket, чтобы увидеть, куда это идет.

    # strace krb5kdc -n 2>&1 | grep 'socket\|connect'
    socket(PF_FILE, SOCK_DGRAM|SOCK_CLOEXEC, 0) = 3
    connect(3, {sa_family=AF_FILE, path="/dev/log"}, 110) = 0
    
  4. выяснить, где /dev/log идет, но я выясняю системный регистратор на этом точка:

    # netstat -xp | grep /dev/log
    unix  5      [ ]         DGRAM                    7731     671/rsyslogd        /dev/log
    
  5. на самом деле не говорит мне, где, но возвращаясь к оригиналу strace, мы можем задать strace чтобы не обрезать строку:

    # strace -s 1000 krb5kdc -n 2>&1 | grep sendto
    sendto(3, "<35>Feb 13 17:47:05 krb5kdc[24194]: LDAP bind dn value missing  - while initializing database for realm EXAMPLE.COM", 115, MSG_NOSIGNAL, NULL, 0) = 115
    
  6. rsyslog, вероятно, входит где-то в /var/log и теперь у меня есть сообщение журнала. Просто grep для этого:

    # cd /var/log && grep -R * -e 'LDAP bind dn'
    «tons of hits in auth.log»
    
3
отвечен Thanatos 2022-11-18 19:33

ведение журнала для KDC обычно настраивается в любом /etc/krb5kdc/kdc.conf (иногда /var/lib/krb5kdc/…) или глобальной /etc/krb5.conf. (Это действительно не имеет значения.) Оба krb5.conf и kdc.conf есть справочные страницы.

[logging]
    kdc = SYSLOG
    # kdc = STDERR

моя первая догадка, что вы не создано царство, используя kdb5_util create.

1
отвечен grawity 2022-11-18 21:50

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх