Umstellung linuxkdc.rrze.uni-erlangen.de auf TCP-only

Start: 31. März 2026, 09:00 Uhr

Ende (voraussichtlich): 1. April 2026, 09:00 Uhr

Sehr geehrte IT-Betreuer und Administratoren der FAU,

wir möchten Sie auf eine kommende Umstellung des Kerberos KDCs unter linuxkdc.rrze.uni-erlangen.de hinweisen.
Am Umstellungstermin soll die Erreichbarkeit per 88/UDP abgeschaltet werden und ausschließlich 88/TCP zum Einsatz kommen.

Bei nicht entsprechend konfigurierten Systemen ist zu erwarten, dass es nach der Umstellung bei der Authentifizierung gegen den linuxkdc zu einer Verzögerung von etwa 0,5 Sekunden kommen wird.
Ggf „vergessene“ Systeme werden also mit nur geringen Einschränkungen weiterlaufen.

Als Umstellungstermin wurde der 31.3.2026 festgelegt.

Allgemeine Informationen zum Kerberos Dienst des RRZE für selbstverwaltete Systeme finden Sie unter
https://www.anleitungen.rrze.fau.de/betriebssysteme/linux/anbindung-an-die-kerberos-infrastruktur-des-rrze/

Wer ist betroffen?

Betroffen sind alle Nutzer des Dienstes linuxkdc.rrze.uni-erlangen.de

Das sollten nahezu ausschließlich Linux-Systeme mit Kerberos Anbindung sein.

Für Linux-Installationen, die vom RRZE betreut werden, sind keine Aktionen Ihrerseits nötig.

Für selbstbetreute Installationen müssen Sie die Umstellung, wie unten beschrieben, selbst vornehmen.

Was wird umgestellt?

Kerberos nutzt standardmäßig überwiegend den Port 88/UDP zur Kommunikation.
Sobald die Paketgröße eine konfigurierte Schwelle überschreitet wird allerdings zur Kommunikation auf Port 88/TCP ausgewichen.

Durch Umstellungen der Loadbalancing Infrastruktur möchten wir hier eine Vereinfachung vornehmen und die Kommunikation
vollständig auf Port 88/TCP umstellen. Der Dienst wird dann unter Port 88/UDP nicht mehr erreichbar sein.

Was muss geändert werden?

Um zu verhindern, dass Kerberos Clients weiterhin zunächst versuchen über 88/UDP Kontakt aufzunehmen muss folgende Zeile in
der Datei /etc/krb5.conf im Block [libdefaults] hinzugefügt werden:

[libdefaults]
# force TCP
udp_preference_limit = 0

Diese Änderung kann auch jetzt schon ohne Probleme und jederzeit vorgenommen werden.

Siehe auch https://www.anleitungen.rrze.fau.de/betriebssysteme/linux/anbindung-an-die-kerberos-infrastruktur-des-rrze/kerberos/#konfiguration

Welche Auswirkungen hat es, falls ich nicht umstelle?

Bei nicht entsprechend konfigurierten Systemen ist zu erwarten, dass es nach der Umstellung bei der Authentifizierung gegen den linuxkdc zu einer Verzögerung von etwa 0,5s kommen wird.
Solange dauert es bis der Kerberos Client die Kommunikation per UDP aufgibt und automatisch einen Fallback auf TCP durchführt.

Ggf „vergessene“ Systeme werden also mit nur geringen Einschränkungen weiterlaufen.

Für Rückfragen wenden Sie sich bitte an rrze-linux@fau.de

Betroffene Bereiche: linuxkdc.rrze.uni-erlangen.de

Kontakt: Unix-System