Date de début et d'expiration incorrecte dans le cache des identifiants après l'authentification de kerberos

Question

Je me connecte à Ubuntu 18.04 avec succès avec l’authentification kerberos/sssd dans un domaine ActiveDirectory. Depuis quelques jours, j'ai un problème d'utilisation de mon cache de ticket/identifiants kerberos pour l'authentification avec certains partages de serveur.

Si j'appelle klist, le cache de mes informations d'identification s'affiche avec la date de début et d'expiration du 01.01.1970. Je crois que cela cause mon problème. Après avoir supprimé/tmp/krb5cc-file et authentifié à nouveau avec kinit, les dates de début et d’expiration sont correctes et l’autorisation sur les partages de serveur fonctionne comme prévu.

Connaissez-vous des problèmes connus à l'origine de ce comportement? Ou des astuces pour résoudre ce problème sans double authentification?

Certains de mes collègues travaillent également avec 18.04 mais sans aucun problème.

Cordialement Patrick

pfleckenstein · Accepted Answer

J'ai identifié le problème. Il semble que quelque chose n'allait pas avec le compte de mon ordinateur stocké dans Active Directory. Dans mon cas, étrangement, il manquait. Ajoutée avec les annonces nettes rejoindre maintenant tout fonctionne comme prévu. Merci pour votre aide!

cqcallaw · Answer

J'ai eu un problème similaire avec mon environnement Single Sign-On local (pas AD, mais OpenLDAP + MIT Kerberos) après la réinstallation de Ubuntu 18.04. Pour moi, configurer sssd pour renouveler automatiquement les tickets a résolu le problème. Il me suffisait d'ajouter les lignes suivantes à sssd.conf et de redémarrer le service sssd.

[domain/MY_REALM_NAME] ... krb5_lifetime = 7d krb5_renewable_lifetime = 7d krb5_renew_interval = 30m ...

https://serverfault.com/a/133631/86462 contient également des détails intéressants sur le mode de calcul de la durée de vie des tickets.