Kurztipp: kinit: Cannot read password while getting initial credentials

Beim Registrieren eines Client-Systems mit einem FreeIPA-Server bin ich neulich auf folgende Fehlermeldung gestoßen:

# ipa-client-install
...
User authorized to enroll computers: admin
...
Kerberos authentication failed
kinit: Cannot read password while getting initial credentials

Nachdem ich viel Zeit mit der Analyse von Konfigurationsdateien und auch SELinux verbracht habe, fiel mir ein, wie banal die Problemursache doch sein kann. Bei Fehlermeldungen dieser Art einfach mal versuchen, mittels kinit ein Kerberos-Ticket zu generieren – es kann schlichtweg vorkommen, dass das Passwort einfach abgelaufen ist:

# kinit admin@STANKOWIC.LOC
Password for admin@STANKOWIC.LOC: 
Password expired.  You must change it now.
Enter new password: 
Enter it again:

Eine ebenso häufige Fehlerursache sind zu stark abweichende Zeitstempel zwischen Kerberos-Client und -Server. Es ist akribisch darauf zu achten, dass die Zeit stets mittels NTP synchron gehalten wird.

2 Kommentare Schreibe einen Kommentar

Schreibe einen Kommentar