PAC の問題が原因で IPA/IDM に対して認証できない場合の解決方法: S4U2PROXY_EVIDENCE_TKT_WITHOUT_PAC エラー
Issue
RHEL 8.9 または RHEL 9.3 にアップグレードした後、ほとんどの IPA ユーザーは WebUI または kinit にログインできなくなり、次のようなエラーが発生します。
GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Credential cache is empty)
その後、ipa コマンドはすべて失敗し始めます。
# ipa -d user-show
...
File "/usr/lib/python3.6/site-packages/ipalib/rpc.py", line 730, in single_request response.msg)
xmlrpc.client.ProtocolError: ... 401 Unauthorized>
IPA の krb5kdc.log でステープルエラーが確認できます。
S4U2PROXY_EVIDENCE_TKT_WITHOUT_PAC
Environment
RHEL 8.9、ipa-server-4.9.12-11 +
RHEL 9.3、ipa-server-4.10.2-5 +
Subscriber exclusive content
A Red Hat subscription provides unlimited access to our knowledgebase, tools, and much more.
