]> xenbits.xensource.com Git - people/dariof/libvirt.git/commitdiff
projects / people / dariof / libvirt.git / commitdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | patch | inline | side by side (parent: 6f8a8b3)
daemon: Avoid 'Could not find keytab file' in syslog
authorCole Robinson <crobinso@redhat.com>
Sat, 20 Oct 2012 18:10:03 +0000 (14:10 -0400)
committerCole Robinson <crobinso@redhat.com>
Sun, 21 Oct 2012 17:21:07 +0000 (13:21 -0400)
On F17 at least, every time libvirtd starts we get this in syslog:

libvirtd: Could not find keytab file: /etc/libvirt/krb5.tab: No such file or directory

This comes from cyrus-sasl, and happens regardless of whether the
gssapi plugin is requested, which is what actually uses
/etc/libvirt/krb5.tab.

While cyrus-sasl shouldn't complain, we can easily make it shut up by
commenting out the keytab value by default.

Also update the keytab comment to the more modern one from qemu's
sasl config file.

daemon/libvirtd.sasl patch | blob | blame | history
docs/auth.html.in patch | blob | blame | history

diff --git a/daemon/libvirtd.sasl b/daemon/libvirtd.sasl
index e24a13085308ff270b8db624839c3dbc530b3555..bfa056fd491e7f69e0abe63d8b4923b1bac7b59f 100644 (file)
--- a/daemon/libvirtd.sasl
+++ b/daemon/libvirtd.sasl
@@ -18,9 +18,12 @@ mech_list: digest-md5
 #   qemu+tcp://hostname/system?auth=sasl.gssapi
 #mech_list: digest-md5 gssapi
 
-# MIT kerberos ignores this option & needs KRB5_KTNAME env var.
-# May be useful for other non-Linux OS though....
-keytab: /etc/libvirt/krb5.tab
+# Some older builds of MIT kerberos on Linux ignore this option &
+# instead need KRB5_KTNAME env var.
+# For modern Linux, and other OS, this should be sufficient
+#
+# There is no default value here, uncomment if you need this
+#keytab: /etc/libvirt/krb5.tab
 
 # If using digest-md5 for username/passwds, then this is the file
 # containing the passwds. Use 'saslpasswd2 -a libvirt [username]'
diff --git a/docs/auth.html.in b/docs/auth.html.in
index 60e4f11b50000566e795acf9394e2e76adc42bbc..d792eb1c85218b6fa47464937adad2ffcdab5fa0 100644 (file)
--- a/docs/auth.html.in
+++ b/docs/auth.html.in
@@ -233,7 +233,8 @@ The SASL mechanism configured by default is DIGEST-MD5, which provides a basic
 username+password style authentication. To enable Kerberos single-sign-on instead,
 the libvirt SASL configuration file must be changed. This is <code>/etc/sasl2/libvirt.conf</code>.
 The <code>mech_list</code> parameter must first be changed to <code>gssapi</code>
-instead of the default <code>digest-md5</code>. If SASL is enabled on the UNIX
+instead of the default <code>digest-md5</code>, and keytab should be set to
+<code>/etc/libvirt/krb5.tab</code> . If SASL is enabled on the UNIX
 and/or TLS sockets, Kerberos will also be used for them. Like DIGEST-MD5, the Kerberos
 mechanism provides data encryption of the session.
 </p>
Dario's libvirt development repository