From: "Victor Sudakov" Received: by mx.demos.su (CommuniGate Pro PIPE 5.0.14) with PIPE id 548948088; Wed, 23 Oct 2013 11:14:37 +0400 X-Spam-Status: No, hits=-0.3 required=5.0 tests=AWL,BAYES_00,SPF_PASS autolearn=ham version=3.3.2-st2.demos X-Spam-Level: X-Spam-Checker-Version: SpamAssassin 3.3.2-st2.demos (2011-06-06) X-Spam-Report: -0.3 points, 5.0 required; * -0.0 SPF_PASS SPF: sender matches SPF record * -0.5 BAYES_00 BODY: Bayes spam probability is 0 to 1% * [score: 0.0000] * 0.2 AWL AWL: From: address is in the auto white-list Received: from [212.73.124.5] (HELO relay2.tomsk.ru) by mx.demos.su (CommuniGate Pro SMTP 5.0.14) with ESMTP id 548948086 for CGatePro@mx.ru; Wed, 23 Oct 2013 11:14:32 +0400 X-Virus-Scanned: by clamd daemon 0.97.5 for FreeBSD at relay2.tomsk.ru Received: from admin.sibptus.tomsk.ru (account sudakov@sibptus.tomsk.ru [212.73.125.240] verified) by relay2.tomsk.ru (CommuniGate Pro SMTP 5.1.16) with ESMTPSA id 35104139 for CGatePro@mx.ru; Wed, 23 Oct 2013 14:14:26 +0700 Received: from admin.sibptus.tomsk.ru (sudakov@localhost [127.0.0.1]) by admin.sibptus.tomsk.ru (8.14.7/8.14.7) with ESMTP id r9N7EQdC082916 for ; Wed, 23 Oct 2013 14:14:26 +0700 (NOVT) (envelope-from sudakov@sibptus.tomsk.ru) Received: (from sudakov@localhost) by admin.sibptus.tomsk.ru (8.14.7/8.14.7/Submit) id r9N7EPw8082915 for CGatePro@mx.ru; Wed, 23 Oct 2013 14:14:25 +0700 (NOVT) (envelope-from sudakov@sibptus.tomsk.ru) X-Authentication-Warning: admin.sibptus.tomsk.ru: sudakov set sender to sudakov@sibptus.tomsk.ru using -f Date: Wed, 23 Oct 2013 14:14:25 +0700 To: Dmitry Akindinov Subject: Re: [CGP] Kerberos debug? Message-ID: <20131023071425.GA80735@admin.sibptus.tomsk.ru> References: MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: Organization: AO "Svyaztransneft", SibPTUS X-PGP-Key: http://www.dreamwidth.org/pubkey?user=victor_sudakov X-PGP-Fingerprint: 10E3 1171 1273 E007 C2E9 3532 0DA4 F259 9B5E C634 User-Agent: Mutt/1.5.21 (2010-09-15) Dmitry Akindinov wrote: > >>>> Скажите просто, как дебаг GSSAPI включить в сервере. Это был основной > >>>> вопрос, и даже в тему вынесен. > >>> > >>> Там нет отдельного лога, максимум что можно увидеть - низкоуровневый > >>> обмен в логах протокола, в котором происходит аутентификация (IMAP, HTTP > >>> и так далее). Там же будет ошибка о неверном ключе или о проблеме с > >>> декодированием тикета. Но вряд ли этосильно поможет... > > > > А вот таки посмотрел wireshark-ом, запретив SSL. Ответ сервера: > > > > a0001 NO Kerberos: incorrect request format > > > > Дамп пакетов тут: http://zalil.ru/34788611 > > Как проанализировать то, что идет после "AUTHENTICATE GSSAPI", и > > почему оно incorrect. я не знаю. Не поможете? > > Ну там много нгде оно может сломаться... Сам запрос декодируется без > ошибок, версия тикета правильная, имя домена и реалма в правильных > местах. А не покажете dump в текстовом виде того, что удалось декодировать? Есть у меня одно подозрение насчет principal-а. Или подскажите, чем декодировать можно. > Дальше нужен кейтаб для расшифровки тикета и ошибка с форматом > происходит скорее всего уже прирасшифровке тикета. Я бы предоставил кейтаб, если кто-то согласится взглянуть. > > Но даже если мы найдём - где, вряд ли получится починить, если баг - > плавающий. > > Проверьте, что на сервере, клиенте и Керберос контроллере часы > синхронизованы. Везде ntpd работает. Сколько у CGP-шного кербероса предельный clockskew, не милисекунды же? -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:sudakov@sibptus.tomsk.ru