AD_Active_Directory Troubleshooting

Problemi con il Servizio Kerberos

27 Febbraio 2025
Luca Angeli
()

Autenticazione fallita per ticket scaduti o errati.

Per risolvere i problemi con il servizio Kerberos, in particolare quando l’autenticazione fallisce a causa di ticket scaduti o errati, è importante seguire una serie di passaggi sistematici per diagnosticare e correggere il problema. Di seguito, fornirò una guida dettagliata in sequenza.

1. Verifica la Data e l’Ora del Sistema

  • Controlla l’Ora del Sistema: Kerberos è sensibile alla sincronizzazione dell’orologio tra il client e il server. Assicurati che la data e l’ora siano corrette su tutte le macchine coinvolte. Se l’orologio è troppo distante (più di 5 minuti), il ticket Kerberos potrebbe non essere valido.
  • Sincronizzazione con un NTP Server: Se i sistemi non sono sincronizzati, configura un server NTP (Network Time Protocol) per mantenere l’orario corretto su tutti i dispositivi. Puoi utilizzare server NTP pubblici, come pool.ntp.org.

2. Verifica la Configurazione di Kerberos

  • Controlla il File di Configurazione di Kerberos: Il file di configurazione di Kerberos, tipicamente krb5.conf (su Linux) o krb5.ini (su Windows), deve essere configurato correttamente. Verifica che contenga i corretti domini di Kerberos, i server KDC (Key Distribution Center) e le relative impostazioni.
  • Controlla i Realm: Assicurati che il “realm” di Kerberos sia configurato correttamente, con il nome del dominio in maiuscolo. Ad esempio, il realm potrebbe essere configurato come EXAMPLE.COM.

3. Controlla il Ticket di Kerberos

  • Visualizza i Ticket Kerberos: Usa il comando klist per visualizzare i ticket Kerberos memorizzati nel sistema. Controlla la data di scadenza e verifica se i ticket sono ancora validi. Se un ticket è scaduto, potrebbe essere necessario richiederne uno nuovo.
    • Su Windows: usa il comando klist nel prompt dei comandi.
    • Su Linux: usa klist nel terminale.
  • Rinnovare il Ticket: Se il ticket è scaduto, puoi rinnovarlo manualmente usando il comando kinit (Linux) o klist /renew (Windows) per ottenere un nuovo ticket.

4. Verifica i Permessi e la Configurazione dell’Account

  • Controlla l’Account dell’Utente: Se il ticket è errato, verifica che l’account dell’utente sia correttamente configurato nel sistema Kerberos. Assicurati che l’utente esista nel dominio e che abbia i permessi necessari per richiedere un ticket.
  • Controlla le Politiche di Ticket: Assicurati che non ci siano politiche di sicurezza che impediscano il rilascio di ticket o che richiedano un rinnovo forzato per determinati utenti.

5. Verifica il Server KDC

  • Verifica il Server KDC (Key Distribution Center): Assicurati che il server KDC (che emette i ticket Kerberos) sia in funzione e correttamente configurato. Puoi provare a pingare il server KDC per verificare che sia raggiungibile.
  • Controlla i Log del Server KDC: Verifica i log del server KDC per errori relativi a richieste di ticket. Su Windows, i log possono essere consultati tramite l’Event Viewer; su Linux, possono essere trovati nei log di sistema (/var/log/krb5kdc.log).

6. Verifica la Configurazione del DNS

  • Controlla la Configurazione DNS: Kerberos si basa sul DNS per localizzare i server KDC. Assicurati che il DNS sia configurato correttamente e che i nomi dei server KDC siano risolvibili tramite DNS. Verifica che non ci siano conflitti o errori nei record DNS.
  • Verifica i Record SRV di Kerberos: Controlla che i record SRV per Kerberos siano presenti e corretti nel DNS. I record SRV di Kerberos per il KDC dovrebbero essere simili a questi:pgsqlCopia codice_kerberos._tcp.domain.com. IN SRV 0 100 88 kdc.domain.com. _kerberos-adm._tcp.domain.com. IN SRV 0 100 88 kdc.domain.com.

7. Controlla il Firewall e le Impostazioni di Rete

  • Controlla il Firewall: Se ci sono firewall tra il client e il server KDC, assicurati che non blocchino il traffico sulle porte necessarie per Kerberos, in particolare la porta TCP 88.
  • Verifica la Rete: Assicurati che la rete non stia interferendo con la comunicazione tra il client e il server KDC. Prova a pingare il KDC o a fare un tracert per vedere se ci sono problemi di rete.

8. Controlla i Log degli Eventi

  • Verifica i Log di Sistema: Sia su Windows che su Linux, i log di sistema possono fornire informazioni utili riguardo a eventuali errori durante la procedura di autenticazione Kerberos. Su Windows, verifica i log di sicurezza nel Visualizzatore eventi; su Linux, guarda i log di autenticazione in /var/log/auth.log o /var/log/krb5kdc.log.

9. Aggiorna il Password o Ri-generare il Ticket

  • Modifica la Password dell’Utente: Se il problema è legato a un ticket errato, può essere utile cambiare la password dell’utente e generare un nuovo ticket. Su Windows, puoi fare questo tramite Active Directory, su Linux tramite il comando kpasswd.
  • Rigenerare il Ticket: Dopo aver aggiornato la password o ripristinato la configurazione, richiedi un nuovo ticket con il comando kinit.

10. Test dell’Autenticazione

  • Verifica l’Autenticazione: Dopo aver seguito tutti i passaggi, prova a effettuare un nuovo tentativo di autenticazione. Puoi farlo con comandi come klist o eseguendo un’applicazione che utilizzi Kerberos per autenticarsi, come un’applicazione Web o un client di posta elettronica.
  • Esegui il Test di Autenticazione: Se l’autenticazione continua a fallire, esegui un test approfondito usando strumenti di diagnostica di Kerberos come kinit o ktutil per visualizzare e ripristinare manualmente i ticket.

11. Verifica la Configurazione del Domain Controller (DC)

  • Controlla il Domain Controller: Verifica che il Domain Controller che gestisce Kerberos sia correttamente configurato e che non ci siano errori o conflitti tra il KDC e il resto della rete.
  • Sicurezza del DC: Assicurati che il Domain Controller non abbia problemi di sicurezza, come certificati scaduti o mal configurati, che potrebbero influire sulla generazione dei ticket Kerberos.

12. Controllo delle Politiche di Sicurezza di Kerberos

  • Controlla le Politiche di Sicurezza: Se il problema persiste, verifica le politiche di sicurezza relative a Kerberos, in particolare la durata dei ticket (ad esempio, la durata del ticket di servizio e del ticket di concessione) e le politiche di rinnovo dei ticket.

13. Consultare la Documentazione Ufficiale di Kerberos

  • Controlla la Documentazione Ufficiale: Se non riesci a risolvere il problema, consulta la documentazione ufficiale di Kerberos per la tua versione. Può contenere informazioni utili riguardo a eventuali modifiche recenti o a problemi noti.

Seguendo questi passaggi, dovresti riuscire a diagnosticare e risolvere i problemi di autenticazione legati ai ticket scaduti o errati con il servizio Kerberos.

/ 5
Grazie per aver votato!

How useful was this post?

Click on a star to rate it!

Average rating / 5. Vote count:

No votes so far! Be the first to rate this post.

As you found this post useful...

Follow us on social media!

We are sorry that this post was not useful for you!

Let us improve this post!

Tell us how we can improve this post?

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Mappa del Sito - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario