From: "Victor Sudakov" <CGatePro@mx.ru>
Received: by mx.demos.su (CommuniGate Pro PIPE 5.0.14)
  with PIPE id 548948854; Wed, 23 Oct 2013 18:14:52 +0400
X-Spam-Status: No, hits=-0.4 required=5.0 tests=AWL,BAYES_00,SPF_PASS
	autolearn=ham version=3.3.2-st1.demos
X-Spam-Level: 
X-Spam-Checker-Version: SpamAssassin 3.3.2-st1.demos (2011-06-06)
X-Spam-Report: -0.4 points, 5.0 required;
	* -0.0 SPF_PASS SPF: sender matches SPF record
	* -0.5 BAYES_00 BODY: Bayes spam probability is 0 to 1%
	*      [score: 0.0000]
	*  0.1 AWL AWL: From: address is in the auto white-list
Received: from [212.73.124.5] (HELO relay2.tomsk.ru)
  by mx.demos.su (CommuniGate Pro SMTP 5.0.14)
  with ESMTP id 548948853 for CGatePro@mx.ru; Wed, 23 Oct 2013 18:14:48 +0400
X-Virus-Scanned: by clamd daemon 0.97.5 for FreeBSD at relay2.tomsk.ru
Received: from admin.sibptus.tomsk.ru (account sudakov@sibptus.tomsk.ru [212.73.125.240] verified)
  by relay2.tomsk.ru (CommuniGate Pro SMTP 5.1.16)
  with ESMTPSA id 35105082 for CGatePro@mx.ru; Wed, 23 Oct 2013 21:14:43 +0700
Received: from admin.sibptus.tomsk.ru (sudakov@localhost [127.0.0.1])
	by admin.sibptus.tomsk.ru (8.14.7/8.14.7) with ESMTP id r9NEEgCc091521
	for <CGatePro@mx.ru>; Wed, 23 Oct 2013 21:14:43 +0700 (NOVT)
	(envelope-from sudakov@sibptus.tomsk.ru)
Received: (from sudakov@localhost)
	by admin.sibptus.tomsk.ru (8.14.7/8.14.7/Submit) id r9NEEgNu091520
	for CGatePro@mx.ru; Wed, 23 Oct 2013 21:14:42 +0700 (NOVT)
	(envelope-from sudakov@sibptus.tomsk.ru)
X-Authentication-Warning: admin.sibptus.tomsk.ru: sudakov set sender to sudakov@sibptus.tomsk.ru using -f
Date: Wed, 23 Oct 2013 21:14:42 +0700
To: Dmitry Akindinov <CGatePro@mx.ru>
Subject: Re: [CGP] Kerberos debug?
Message-ID: <20131023141442.GA91394@admin.sibptus.tomsk.ru>
References: <list-548937657@mx.demos.su>
 <list-548943068@mx.demos.su>
 <list-548944446@mx.demos.su>
 <list-548944950@mx.demos.su>
 <list-548946341@mx.demos.su>
 <list-548946840@mx.demos.su>
 <list-548946859@mx.demos.su>
 <list-548947180@mx.demos.su>
 <list-548948083@mx.demos.su>
 <list-548948815@mx.demos.su>
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <list-548948815@mx.demos.su>
Organization: AO "Svyaztransneft", SibPTUS
X-PGP-Key: http://www.dreamwidth.org/pubkey?user=victor_sudakov
X-PGP-Fingerprint: 10E3 1171 1273 E007 C2E9  3532 0DA4 F259 9B5E C634
User-Agent: Mutt/1.5.21 (2010-09-15)

Dmitry Akindinov wrote:
> >>>>>> Скажите просто, как дебаг GSSAPI включить в сервере. Это был основной
> >>>>>> вопрос, и даже в тему вынесен.
> >>>>>
> >>>>> Там нет отдельного лога, максимум что можно увидеть - низкоуровневый
> >>>>> обмен в логах протокола, в котором происходит аутентификация (IMAP, HTTP
> >>>>> и так далее). Там же будет ошибка о неверном ключе или о проблеме с
> >>>>> декодированием тикета. Но вряд ли этосильно поможет...
> >>>
> >>> А вот таки посмотрел wireshark-ом, запретив SSL. Ответ сервера:
> >>>
> >>> a0001 NO Kerberos: incorrect request format
> >>>
> >>> Дамп пакетов тут: http://zalil.ru/34788611
> >>> Как проанализировать то, что идет после "AUTHENTICATE GSSAPI", и
> >>> почему оно incorrect. я не знаю. Не поможете?
> >>
> >> Ну там много нгде оно может сломаться... Сам запрос декодируется без
> >> ошибок, версия тикета правильная, имя домена и реалма в правильных
> >> местах.
> >
> > А не покажете dump в текстовом виде того, что удалось декодировать?
> > Есть у меня одно подозрение насчет principal-а.
> 
> Строка, которой клиент отвечает на + сервера кодирует в base64 некоторые 
> данные, упакованные с помощью BER. Собственно, в дампе
> echo -n строчка | base64 -d | hexdump -C видно и реалм и принципал.
> Для разбора ASN/BER структуры на данные можно натравить 
> http://lapo.it/asn1js/

Спасибо.

> 
> > Или подскажите, чем декодировать можно.
> 
> Чтобы понять, на каком этапе ломается разбор данных сервером - только в 
> отладчике.
> 
> >> Дальше нужен кейтаб для расшифровки тикета и ошибка с форматом
> >> происходит скорее всего уже прирасшифровке тикета.
> >
> > Я бы предоставил кейтаб, если кто-то согласится взглянуть.
> 
> Взглянуть можно.

А чей keytab нужен, сервера? Который в CGP установлен?

> 
> >> Но даже если мы найдём - где, вряд ли получится починить, если баг -
> >> плавающий.
> >>
> >> Проверьте, что на сервере, клиенте и Керберос контроллере часы
> >> синхронизованы.
> >
> > Везде ntpd работает. Сколько у CGP-шного кербероса предельный
> > clockskew, не милисекунды же?
> 
> У клиента тоже?

Да.

> 
> Просто подумалось, что если "то работает, то не работает", то дело может 
> быть во времени, к кторому Керберос чуствителен. Но там, насколько 
> помню, допускается расхождение часов до пяти минут.

Вряд ли. Если запускать например mutt несколько раз подряд после
GSSAPI authentication error, то на второй-третий раз обязательно
пустит. Вряд ли что-то успевает произойти с часами за такой кратий
промежуток времени.

> 
> А какой керберос сервер используется?

В смысле KDC ? Heimdal 1.1.0 из комплекта FreeBSD 8.

Kerberos используется еще для ssh, SVN, CVS и еще чего-то, чего сходу
не вспомню. Но описанная проблема только с CGP. 

-- 
Victor Sudakov,  VAS4-RIPE, VAS47-RIPN
sip:sudakov@sibptus.tomsk.ru