From: "Dmitry Akindinov" <CGatePro@mx.ru>
Message-ID: <5268F250.5010909@stalker.com>
Date: Thu, 24 Oct 2013 14:11:28 +0400
Organization: Stalker Labs
User-Agent: Mozilla/5.0 (Windows NT 6.1; rv:17.0) Gecko/20130801 Thunderbird/17.0.8
MIME-Version: 1.0
To: CommuniGate Pro Russian Discussions <CGatePro@mx.ru>
Subject: Re: Re: [CGP] Kerberos debug?
References: <list-548937657@mx.demos.su> <list-548943068@mx.demos.su> <list-548944446@mx.demos.su> <list-548944950@mx.demos.su> <list-548946341@mx.demos.su> <list-548946840@mx.demos.su> <list-548946859@mx.demos.su> <list-548947180@mx.demos.su> <list-548948083@mx.demos.su> <list-548948815@mx.demos.su> <list-548948846@mx.demos.su>
In-Reply-To: <list-548948846@mx.demos.su>
Content-Type: text/plain; charset=KOI8-R; format=flowed
Content-Transfer-Encoding: 8bit

здравствуйте,

On 2013-10-23 18:14, Victor Sudakov wrote:
> Dmitry Akindinov wrote:
>>>>>>>> Скажите просто, как дебаг GSSAPI включить в сервере. Это был основной
>>>>>>>> вопрос, и даже в тему вынесен.
>>>>>>>
>>>>>>> Там нет отдельного лога, максимум что можно увидеть - низкоуровневый
>>>>>>> обмен в логах протокола, в котором происходит аутентификация (IMAP, HTTP
>>>>>>> и так далее). Там же будет ошибка о неверном ключе или о проблеме с
>>>>>>> декодированием тикета. Но вряд ли этосильно поможет...
>>>>>
>>>>> А вот таки посмотрел wireshark-ом, запретив SSL. Ответ сервера:
>>>>>
>>>>> a0001 NO Kerberos: incorrect request format
>>>>>
>>>>> Дамп пакетов тут: http://zalil.ru/34788611
>>>>> Как проанализировать то, что идет после "AUTHENTICATE GSSAPI", и
>>>>> почему оно incorrect. я не знаю. Не поможете?
>>>>
>>>> Ну там много нгде оно может сломаться... Сам запрос декодируется без
>>>> ошибок, версия тикета правильная, имя домена и реалма в правильных
>>>> местах.
>>>
>>> А не покажете dump в текстовом виде того, что удалось декодировать?
>>> Есть у меня одно подозрение насчет principal-а.
>>
>> Строка, которой клиент отвечает на + сервера кодирует в base64 некоторые
>> данные, упакованные с помощью BER. Собственно, в дампе
>> echo -n строчка | base64 -d | hexdump -C видно и реалм и принципал.
>> Для разбора ASN/BER структуры на данные можно натравить
>> http://lapo.it/asn1js/
>
> Спасибо.
>
>>
>>> Или подскажите, чем декодировать можно.
>>
>> Чтобы понять, на каком этапе ломается разбор данных сервером - только в
>> отладчике.
>>
>>>> Дальше нужен кейтаб для расшифровки тикета и ошибка с форматом
>>>> происходит скорее всего уже прирасшифровке тикета.
>>>
>>> Я бы предоставил кейтаб, если кто-то согласится взглянуть.
>>
>> Взглянуть можно.
>
> А чей keytab нужен, сервера? Который в CGP установлен?

Да.

>>>> Но даже если мы найдём - где, вряд ли получится починить, если баг -
>>>> плавающий.
>>>>
>>>> Проверьте, что на сервере, клиенте и Керберос контроллере часы
>>>> синхронизованы.
>>>
>>> Везде ntpd работает. Сколько у CGP-шного кербероса предельный
>>> clockskew, не милисекунды же?
>>
>> У клиента тоже?
>
> Да.
>
>>
>> Просто подумалось, что если "то работает, то не работает", то дело может
>> быть во времени, к кторому Керберос чуствителен. Но там, насколько
>> помню, допускается расхождение часов до пяти минут.
>
> Вряд ли. Если запускать например mutt несколько раз подряд после
> GSSAPI authentication error, то на второй-третий раз обязательно
> пустит. Вряд ли что-то успевает произойти с часами за такой кратий
> промежуток времени.
>
>>
>> А какой керберос сервер используется?
>
> В смысле KDC ? Heimdal 1.1.0 из комплекта FreeBSD 8.
>
> Kerberos используется еще для ssh, SVN, CVS и еще чего-то, чего сходу
> не вспомню. Но описанная проблема только с CGP.

А между попытками с mutt результат klist одинаковый?

-- 
Best regards,
Dmitry Akindinov