Почему не работает kerberos в ansible?

Question

[Alex G.]

Приветствую всех! Подскажите или натолкните на мысль из за чего вылетает ошибка?

TEST-MACHINE.DOMAIN.LOCAL | UNREACHABLE! => {
    "changed": false,
    "msg": "kerberos: authGSSClientInit() failed: (('No credentials were supplied, or the credentials were unavailable or inaccessible', 458752), (\"Can't find client principal user_admin@domain.local in cache collection\", -1765328243))",
    "unreachable": true
}

файл конфига krb

[logging]
  default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
dns_lookup_realm = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
rdns = false
udp_preference_limit = 0
default_realm = DOMAIN.LOCAL

[realms]
  DOMAIN.LOCAL = {
    admin_server = ad-01.domain.local
    kdc = ad-01.domain.local
  }
[domain_realm]
 domain.local = DOMAIN.LOCAL
 .DOMAIN.LOCAL = DOMAIN.LOCAL

Хост файл Ansible

[test]
TEST-MACHINE.DOMAIN.LOCAL

[test:vars]
ansible_port=5985
ansible_user=user_admin@domain.local
ansible_connection=winrm
ansible_winrm_transport=kerberos
ansible_winrm_scheme=http
ansible_winrm_server_cert_validation=ignore

Answer 1

[Zerg89]

ansible_port=5985 закоментировать если с https
ansible_password = P@ssw0rd!@#$ где?
Доступ к керберос TEST-MACHINE.DOMAIN.LOCAL с есть?
Поробуй knit user_admin@DOMAIN.LOCAL

Такого параметра в документации нету примеры
Ps ну и файрвол проверяй может порты открыть надо

Comments

[Alex G.]

kinit проходит!

ansible_password = P@ssw0rd!@#$ где?

Я думал это только для локального юзера!

[Zerg89]

Alexey Gergert, всмысле для локального, хотя не важно учетка то у тебя доменная и как-то компу надо сказать войди в домен используя учетку такую пароль такой, да и пользователи первоначально должны заходить с паролем чтобы тикет сгенерить на локальной машине который потом верифицируется сервером с kerberos

[Alex G.]

Zerg89, Я в Linux вхожу под этой учеткой. Поэтому подумал что должен и так билет в кербе получить.

Добавил я пароль. Теперь ругая ошибка

TEST-MACHINE.DOMAIN.LOCAL | UNREACHABLE! => {
    "changed": false,
    "msg": "Kerberos auth failure for principal user_admin@domain.local with pexpect: kinit: KDC reply did not match expectations while getting initial credentials",
    "unreachable": true
}

[Максим Гришин]

керберос на линуксах хочет имя домена в UPPERCASE, судя по ошибке, у вас домен написан в lowercase. Проверьте отработку kinit на целевой для ансибла ВМ

[Zerg89]

Alexey Gergert, ansible_user=user_admin@DOMAIN.LOCAL
Linux регистрозависимый и домен пишется большими буквами
DOMAIN.LOCAL = { admin_server = ad-01.domain.local kdc = ad-01.domain.local

[Alex G.]

Максим Гришин, kinit проходит! В хост файле указал имя домена капсом!

[Zerg89]

Alexey Gergert, а в ansible маленькими

[Alex G.]

Zerg89, Спасибо огромное за помощь!