Kurztipp: kinit: Cannot read password while getting initial credentials

Beim Registrieren eines Client-Systems mit einem FreeIPA-Server bin ich neulich auf folgende Fehlermeldung gestoßen:

1# ipa-client-install
2...
3User authorized to enroll computers: admin
4...
5Kerberos authentication failed
6kinit: Cannot read password while getting initial credentials

Nachdem ich viel Zeit mit der Analyse von Konfigurationsdateien und auch SELinux verbracht habe, fiel mir ein, wie banal die Problemursache doch sein kann. Bei Fehlermeldungen dieser Art einfach mal versuchen, mittels kinit ein Kerberos-Ticket zu generieren - es kann schlichtweg vorkommen, dass das Passwort einfach abgelaufen ist:

1# kinit admin@STANKOWIC.LOC
2Password for admin@STANKOWIC.LOC:
3Password expired.  You must change it now.
4Enter new password:
5Enter it again:

Eine ebenso häufige Fehlerursache sind zu stark abweichende Zeitstempel zwischen Kerberos-Client und -Server. Es ist akribisch darauf zu achten, dass die Zeit stets mittels NTP synchron gehalten wird.

Übersetzungen: