From: "Victor Sudakov" Received: by mx.demos.su (CommuniGate Pro PIPE 5.0.14) with PIPE id 548950644; Thu, 24 Oct 2013 18:20:30 +0400 X-Spam-Status: No, hits=-0.4 required=5.0 tests=AWL,BAYES_00,SPF_PASS autolearn=ham version=3.3.2-st1.demos X-Spam-Level: X-Spam-Checker-Version: SpamAssassin 3.3.2-st1.demos (2011-06-06) X-Spam-Report: -0.4 points, 5.0 required; * -0.0 SPF_PASS SPF: sender matches SPF record * -0.5 BAYES_00 BODY: Bayes spam probability is 0 to 1% * [score: 0.0000] * 0.1 AWL AWL: From: address is in the auto white-list Received: from [212.73.124.5] (HELO relay2.tomsk.ru) by mx.demos.su (CommuniGate Pro SMTP 5.0.14) with ESMTP id 548950637 for CGatePro@mx.ru; Thu, 24 Oct 2013 18:20:28 +0400 X-Virus-Scanned: by clamd daemon 0.97.5 for FreeBSD at relay2.tomsk.ru Received: from admin.sibptus.tomsk.ru (account sudakov@sibptus.tomsk.ru [212.73.125.240] verified) by relay2.tomsk.ru (CommuniGate Pro SMTP 5.1.16) with ESMTPSA id 35107410 for CGatePro@mx.ru; Thu, 24 Oct 2013 21:20:22 +0700 Received: from admin.sibptus.tomsk.ru (sudakov@localhost [127.0.0.1]) by admin.sibptus.tomsk.ru (8.14.7/8.14.7) with ESMTP id r9OEKLkA024752 for ; Thu, 24 Oct 2013 21:20:21 +0700 (NOVT) (envelope-from sudakov@sibptus.tomsk.ru) Received: (from sudakov@localhost) by admin.sibptus.tomsk.ru (8.14.7/8.14.7/Submit) id r9OEKJtt024751 for CGatePro@mx.ru; Thu, 24 Oct 2013 21:20:19 +0700 (NOVT) (envelope-from sudakov@sibptus.tomsk.ru) X-Authentication-Warning: admin.sibptus.tomsk.ru: sudakov set sender to sudakov@sibptus.tomsk.ru using -f Date: Thu, 24 Oct 2013 21:20:19 +0700 To: Dmitry Akindinov Subject: Re: [CGP] Kerberos debug? Message-ID: <20131024142019.GA24700@admin.sibptus.tomsk.ru> References: MIME-Version: 1.0 Content-Type: text/plain; charset=koi8-r Content-Disposition: inline Content-Transfer-Encoding: 8bit In-Reply-To: Organization: AO "Svyaztransneft", SibPTUS X-PGP-Key: http://www.dreamwidth.org/pubkey?user=victor_sudakov X-PGP-Fingerprint: 10E3 1171 1273 E007 C2E9 3532 0DA4 F259 9B5E C634 User-Agent: Mutt/1.5.21 (2010-09-15) Dmitry Akindinov wrote: > >> > >> Чтобы понять, на каком этапе ломается разбор данных сервером - только в > >> отладчике. > >> > >>>> Дальше нужен кейтаб для расшифровки тикета и ошибка с форматом > >>>> происходит скорее всего уже прирасшифровке тикета. > >>> > >>> Я бы предоставил кейтаб, если кто-то согласится взглянуть. > >> > >> Взглянуть можно. > > > > А чей keytab нужен, сервера? Который в CGP установлен? > > Да. Как мне его передать вам приватно? > > >>>> Но даже если мы найдём - где, вряд ли получится починить, если баг - > >>>> плавающий. > >>>> > >>>> Проверьте, что на сервере, клиенте и Керберос контроллере часы > >>>> синхронизованы. > >>> > >>> Везде ntpd работает. Сколько у CGP-шного кербероса предельный > >>> clockskew, не милисекунды же? > >> > >> У клиента тоже? > > > > Да. > > > >> > >> Просто подумалось, что если "то работает, то не работает", то дело может > >> быть во времени, к кторому Керберос чуствителен. Но там, насколько > >> помню, допускается расхождение часов до пяти минут. > > > > Вряд ли. Если запускать например mutt несколько раз подряд после > > GSSAPI authentication error, то на второй-третий раз обязательно > > пустит. Вряд ли что-то успевает произойти с часами за такой кратий > > промежуток времени. > > > >> > >> А какой керберос сервер используется? > > > > В смысле KDC ? Heimdal 1.1.0 из комплекта FreeBSD 8. > > > > Kerberos используется еще для ssh, SVN, CVS и еще чего-то, чего сходу > > не вспомню. Но описанная проблема только с CGP. > > А между попытками с mutt результат klist одинаковый? Да. Ничего не меняется, есть один и тот же билет на imap/mail.sibptus.tomsk.ru@SIBPTUS.TOMSK.RU вот он то срабатывает, то нет. Сужу, что он один и тот же, потому что "Start time" и прочие его признаки не меняются. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:sudakov@sibptus.tomsk.ru