|
|
Dmitry Akindinov wrote:
> >>
> >> Чтобы понять, на каком этапе ломается разбор данных сервером - только в
> >> отладчике.
> >>
> >>>> Дальше нужен кейтаб для расшифровки тикета и ошибка с форматом
> >>>> происходит скорее всего уже прирасшифровке тикета.
> >>>
> >>> Я бы предоставил кейтаб, если кто-то согласится взглянуть.
> >>
> >> Взглянуть можно.
> >
> > А чей keytab нужен, сервера? Который в CGP установлен?
>
> Да.
Как мне его передать вам приватно?
>
> >>>> Но даже если мы найдём - где, вряд ли получится починить, если баг -
> >>>> плавающий.
> >>>>
> >>>> Проверьте, что на сервере, клиенте и Керберос контроллере часы
> >>>> синхронизованы.
> >>>
> >>> Везде ntpd работает. Сколько у CGP-шного кербероса предельный
> >>> clockskew, не милисекунды же?
> >>
> >> У клиента тоже?
> >
> > Да.
> >
> >>
> >> Просто подумалось, что если "то работает, то не работает", то дело может
> >> быть во времени, к кторому Керберос чуствителен. Но там, насколько
> >> помню, допускается расхождение часов до пяти минут.
> >
> > Вряд ли. Если запускать например mutt несколько раз подряд после
> > GSSAPI authentication error, то на второй-третий раз обязательно
> > пустит. Вряд ли что-то успевает произойти с часами за такой кратий
> > промежуток времени.
> >
> >>
> >> А какой керберос сервер используется?
> >
> > В смысле KDC ? Heimdal 1.1.0 из комплекта FreeBSD 8.
> >
> > Kerberos используется еще для ssh, SVN, CVS и еще чего-то, чего сходу
> > не вспомню. Но описанная проблема только с CGP.
>
> А между попытками с mutt результат klist одинаковый?
Да. Ничего не меняется, есть один и тот же билет на
imap/mail.sibptus.tomsk.ru@SIBPTUS.TOMSK.RU
вот он то срабатывает, то нет.
Сужу, что он один и тот же, потому что "Start time" и прочие его
признаки не меняются.
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
sip:sudakov@sibptus.tomsk.ru
|
|