Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 28 replies
  • Subscribers 1 subscriber
  • Views 16645 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Web Proxy: Key table entry not found

pneumatic
For whatever reason, certain hosts can no longer access the web through the Astaro web proxy in SSO under Active Directory due to the following error:

[FONT="Courier New"]httpproxy[9752]: [ 0x88cd510] adir_auth_process_negotiate (auth_adir.c:311) gss_accept_sec_context: Key table entry not found [/FONT]

Anyone?  I have put an authentication bypass in place for the affected hosts.  I have reset the computer accounts in AD and re-joined them to the domain.


This thread was automatically locked due to age.
Parents
  • 0
    Taking a gander at what this error means it means the kerebros daemon on the astaro doesn't have the user credentials available.  I bet because somehow the key(s) became corrupted.  I would try removing the AD information from the astaro..reboot..and then rejoin.  This will fully rebuild the kerebros keytable(s) on the astaro and should rectify this issue.
  • 0 in reply to William Warren
    I went so far as to do all of this including deletion of /etc/krb5.keytab (just to make sure that it would be regenerated) and it did not resolve the issue.
  • 0 in reply to pneumatic
    I went so far as to do all of this including deletion of /etc/krb5.keytab (just to make sure that it would be regenerated) and it did not resolve the issue.


    no you need to fully remove the configuration from astaro and reboot so you clear all the configurations..then try again.  Simply removing the kerberos file isn't enough.
  • 0 in reply to William Warren
    Just an update on this issue:

    William, no, removing the ASG from the domain and re-adding it makes no difference in this case (first thing I tried, anyway)...

    There is no corruption of the key tables, either; here's the answer:

    Astaro support found that some clients were triggering Kerberos to look for uppercase spellings of the AD domain; they have yet to be able to explain why / how... but this was triggering the failure.  They went in and manually created uppercase entries that matched the lowercase entries, and thus far, the customer's problem is solved.  I don't know if they plan to add a fix that would just automatically create the uppercase entries, but that would be one way to fix it.

    They used kutil  ktutil(8) - Linux man page  to manipulate the file.   Be warned that using this without Astaro Support's blessing may result in voided warranties / support and / or downtime.
Reply
  • 0 in reply to William Warren
    Just an update on this issue:

    William, no, removing the ASG from the domain and re-adding it makes no difference in this case (first thing I tried, anyway)...

    There is no corruption of the key tables, either; here's the answer:

    Astaro support found that some clients were triggering Kerberos to look for uppercase spellings of the AD domain; they have yet to be able to explain why / how... but this was triggering the failure.  They went in and manually created uppercase entries that matched the lowercase entries, and thus far, the customer's problem is solved.  I don't know if they plan to add a fix that would just automatically create the uppercase entries, but that would be one way to fix it.

    They used kutil  ktutil(8) - Linux man page  to manipulate the file.   Be warned that using this without Astaro Support's blessing may result in voided warranties / support and / or downtime.
Children
  • 0 in reply to BrucekConvergent
    Have a look at the support email excerpt below; this is the info I used from support way back when to address the upper-case / lower-case kerberos issue:  note that I assume no liability for damaged systems, etc. if you try this on your installation -- use with caution -- and note that making such changes without the blessing of official Sophos Support (if you are on a commercial license) may void your support agreement -- if you do have official support, see if they can pull up the original Astaro Support ticket that I worked originally for more info, maybe that will help them along ... the case info:  Ticket#2010020610000181] CaseID 00115705 -- this dates back to March 2010:

    -------------------------------------

    To add entries to the keytable, you can do the following:

    net ads keytab add $ENTRY -U username%password

    In the command, $ENTRY has to be one of the following (and you'll need to add each
    one):
    host/FQDN@domain
    host/hostname@domain
    hostname@domain
    HTTP/FQDN@domain
    HTTP/hostname@domain

    To see your keytab, you can run the following commands:
    ktutil (this will switch to a different shell) read_kt /etc/krb5.keytab list q (to quit)

    Here is an example of my testlab keytab file:
       1    4 host/dot10.ad2.testastaro.com@AD2.TESTASTARO.COM
       2    4 host/dot10.ad2.testastaro.com@AD2.TESTASTARO.COM
       3    4 host/dot10.ad2.testastaro.com@AD2.TESTASTARO.COM
       4    4            host/dot10@AD2.TESTASTARO.COM
       5    4            host/dot10@AD2.TESTASTARO.COM
       6    4            host/dot10@AD2.TESTASTARO.COM
       7    4                DOT10$@AD2.TESTASTARO.COM
       8    4                DOT10$@AD2.TESTASTARO.COM
       9    4                DOT10$@AD2.TESTASTARO.COM
      10    4 HTTP/dot10.ad2.testastaro.com@AD2.TESTASTARO.COM
      11    4 HTTP/dot10.ad2.testastaro.com@AD2.TESTASTARO.COM
      12    4 HTTP/dot10.ad2.testastaro.com@AD2.TESTASTARO.COM
      13    4            HTTP/dot10@AD2.TESTASTARO.COM
      14    4            HTTP/dot10@AD2.TESTASTARO.COM
      15    4            HTTP/dot10@AD2.TESTASTARO.COM