| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Administration d'Oracle Solaris : services de sécurité Oracle Solaris 11 Information Library (Français) |
Partie I Présentation de la sécurité
1. Services de sécurité (présentation)
Partie II Sécurité du système, des fichiers et des périphériques
2. Gestion de la sécurité de la machine (présentation)
3. Contrôle de l'accès aux systèmes (tâches)
4. Service d'analyse antivirus (tâches)
5. Contrôle de l'accès aux périphériques (tâches)
6. Utilisation de l'outil de génération de rapports d'audit de base (tâches)
7. Contrôle de l'accès aux fichiers (tâches)
Partie III Rôles, profils de droits et privilèges
8. Utilisation des rôles et des privilèges (présentation)
9. Utilisation du contrôle d'accès basé sur les rôles (tâches)
10. Attributs de sécurité dans Oracle Solaris (référence)
Partie IV Services cryptographiques
11. Structure cryptographique (présentation)
12. Structure cryptographique (tâches)
13. Structure de gestion des clés
Partie V Services d'authentification et communication sécurisée
14. Authentification des services réseau (tâches)
17. Utilisation de Secure Shell (tâches)
19. Introduction au service Kerberos
20. Planification du service Kerberos
21. Configuration du service Kerberos (tâches)
22. Messages d'erreur et dépannage de Kerberos
Identification des problèmes liés aux numéros de version de clé
Problèmes avec le format du fichier krb5.conf
Problèmes de propagation de la base de données Kerberos
Problèmes de montage d'un système de fichiers NFS utilisant Kerberos
Problèmes liés à l'authentification en tant qu'utilisateur root
Utilisation de DTrace avec le service Kerberos
23. Administration des principaux et des stratégies Kerberos (tâches)
24. Utilisation des applications Kerberos (tâches)
25. Service Kerberos (référence)
Partie VII Audit dans Oracle Solaris
Cette section fournit des informations sur les messages d'erreur Kerberos, y compris la raison de chaque erreur et une façon de corriger la corriger.
Unable to view the list of principals or policies; use the Name field.
Origine : Le principal admin avec lequel vous vous êtes connecté n'a pas de privilège de liste (l) dans le fichier ACL de Kerberos (kadm5.acl). Par conséquent, vous ne pouvez pas afficher la liste des principaux ou la liste des stratégies.
Solution : Vous devez saisir les noms des principaux et des stratégies dans le champ de nom pour travailler sur ces derniers, ou vous devez vous connecter à l'aide d'un principal qui dispose des privilèges appropriés.
JNI: Java array creation failed
JNI: Java class lookup failed
JNI: Java field lookup failed
JNI: Java method lookup failed
JNI: Java object lookup failed
JNI: Java object field lookup failed
JNI: Java string access failed
JNI: Java string creation failed
Origine : Un grave problème existe avec l'interface native Java utilisée par l'outil SEAM (gkadmin).
Solution : Quittez gkadmin et redémarrez-le. Si le problème persiste, veuillez signaler un bogue.
Cette section fournit une liste alphabétique (A-M) des messages d'erreur courants pour les commandes Kerberos, les démons Kerberos, la structure PAM, l'interface GSS, le service NFS et la bibliothèque Kerberos.
All authentication systems disabled; connection refused
Origine : Cette version de rlogind ne prend pas en charge de mécanisme d'authentification.
Solution : Vérifiez que la commande rlogind est appelée avec l'option -k.
Another authentication mechanism must be used to access this host
Origine : L'authentification n'a pas pu être effectuée.
Solution : Assurez-vous que le client utilise le mécanisme Kerberos V5 pour l'authentification.
Authentication negotiation has failed, which is required for encryption. Good bye.
Origine : L'authentification n'a pas pu être négociée avec le serveur.
Solution : Lancez le débogage d'authentification en appelant la commande telnet avec la commande toggle authdebug et consultez les messages de débogage pour en savoir plus. En outre, assurez-vous que vous avez des informations d'identification valides.
Bad krb5 admin server hostname while initializing kadmin interface
Origine : Un nom d'hôte non valide est configuré pour admin_server dans le fichier krb5.conf.
Solution : Assurez-vous que le nom d'hôte correct pour le KDC maître est indiqué sur la ligne admin_server du fichier krb5.conf.
Bad lifetime value
Origine : La valeur de durée de vie fournie n'est pas valide ou incorrectement formatée.
Solution : Assurez-vous que la valeur fournie est cohérente avec la section des formats d'heure de la page de manuel kinit(1).
Bad start time value
Origine : La valeur d'heure de démarrage fournie n'est pas valide ou incorrectement formatée.
Solution : Assurez-vous que la valeur fournie est cohérente avec la section des formats d'heure de la page de manuel kinit(1).
Cannot contact any KDC for requested realm
Origine : Aucun KDC n'a répondu dans le domaine demandé.
Solution : Assurez-vous qu'au moins un KDC (maître ou esclave) est accessible ou que le démon krb5kdc est en cours d'exécution sur les KDC. Consultez le fichier /etc/krb5/krb5.conf pour la liste de KDC configurés (kdc = kdc-name).
Cannot determine realm for host: host is 'hostname'
Origine : Kerberos n'est pas en mesure de déterminer le nom de domaine de l'hôte.
Solution : Assurez-vous qu'il y a un nom de domaine par défaut ou que les mappages de nom de domaine sont définis dans le fichier de configuration Kerberos (krb5.conf).
Cannot find a kadmin KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find a kpassword KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find a master KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find any KDC entries in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Origine : Le fichier krb5.conf ou l'enregistrement du serveur DNS n'est pas correctement configuré.
Solution : Assurez-vous que le fichier de configuration Kerberos (/etc/krb5/krb5.conf) ou les enregistrements du serveur DNS pour le KDC sont correctement configurés.
Cannot find address for 'hostname': 'error-string '
Origine : Aucune adresse n'a été trouvée dans les enregistrements du DNS pour le nom d'hôte donné.
Solution : Corrigez l'enregistrement d'hôte dans le DNS ou corrigez l'erreur dans la recherche DNS.
Cannot find KDC for requested realm
Origine : Aucun KDC n'a été trouvé dans le domaine demandé.
Solution : Assurez-vous que le fichier de configuration Kerberos (krb5.conf) indique un KDC dans la section realm.
cannot initialize realm realm-name
Origine : Le KDC n'a peut-être pas de fichier stash.
Solution : Assurez-vous que le KDC dispose d'un fichier stash. Si tel n'est pas le cas, créez un fichier stash en utilisant la commande kdb5_util et essayez de redémarrer la commande krb5kdc.
Cannot resolve KDC for requested realm
Origine : Kerberos n'est pas en mesure de déterminer un KDC pour le domaine.
Solution : Assurez-vous que le fichier de configuration Kerberos (krb5.conf) indique un KDC dans la section realm.
Cannot resolve network address for KDCs 'hostname' discovered via DNS Service Location records for realm 'realm-name'
Cannot resolve network address for KDCs 'hostname' specified in krb5.conf(4) for realm 'realm-name'
Origine : Le fichier krb5.conf ou l'enregistrement du serveur DNS n'est pas configuré correctement.
Solution : Assurez-vous que le fichier de configuration Kerberos (/etc/krb5/krb5.conf) et les enregistrements du serveur DNS pour le KDC sont correctement configurés.
Cannot reuse password
Origine : Le mot de passe que vous avez spécifié a déjà été utilisé par ce principal.
Solution : Choisissez un mot de passe qui n'a pas été choisi avant, ou du moins qui ne fait pas partie des mots de passe qui sont conservés dans la base de données KDC pour chaque principal. Cette stratégie est appliquée par la stratégie du principal.
Can't get forwarded credentials
Origine : Le transfert de données d'identification n'a pas pu être établi.
Solution : Assurez-vous que le principal dispose d'informations d'identification transmissibles.
Can't open/find Kerberos configuration file
Origine : Le fichier de configuration Kerberos (krb5.conf) n'était pas disponible.
Solution : Assurez-vous que le krb5.conf est disponible au bon emplacement et qu'il dispose des autorisations nécessaires. Ce fichier doit être accessible en écriture par root et lisible par tout le monde.
Client 'principal' not found in Kerberos database
Origine : Le principal est absent de la base de données Kerberos.
Solution : Ajoutez le principal de client à la base de données Kerberos.
Client 'principal' pre-authentication failed
Origine : L'authentification du principal a échoué.
Solution : Assurez-vous que l'utilisateur utilise le mot de passe correct.
Client did not supply required checksum--connection rejected
Origine : L'authentification avec somme de contrôle n'a pas été négociée avec le client. Le client utilise peut-être un ancien protocole Kerberos V5 qui ne prend pas en charge la prise en charge de connexion initiale.
Solution : Assurez-vous que le client utilise un protocole Kerberos V5 qui prend en charge la prise en charge de connexion initiale.
Client/server realm mismatch in initial ticket request: 'client-principal' requesting ticket 'service-principal'
Origine : Un conflit de domaine entre le client et le serveur s'est produit dans la requête de ticket initiale.
Solution : Assurez-vous que le serveur avec lequel vous communiquez est dans le même domaine que le client, ou que les configurations du domaine sont correctes.
Client or server has a null key
Origine : Le principal a une clé nulle.
Solution : Modifiez le principal afin qu'il dispose d'une clé non nulle en utilisant la commande cpw de kadmin.
Clock skew too great: 'client' requesting ticket 'service-principal' from KDC 'KDC-hostname' (KDC-time). Skew is value
Clock skew too great: 'client' AP request with ticket for 'service-principal'. Skew is value (allowable value)
Origine : La différence entre l'heure signalée sur le client et le serveur KDC ou le serveur d'application est trop grande.
Solution : Configurez le protocole NTP (Network Time Protocol) pour conserver la synchronisation des horloges. Pour plus d'informations, reportez-vous à la section Synchronisation des horloges entre les KDC et les clients Kerberos.
Communication failure with server while initializing kadmin interface
Origine : Le démon kadmind n'était pas en cours d'exécution sur l'hôte qui a été spécifié pour le serveur d'administration, également appelé KDC maître.
Solution : Assurez-vous d'avoir spécifié le nom d'hôte correct pour le KDC maître. Si vous avez spécifié le nom d'hôte correct, assurez-vous que kadmind est en cours d'exécution sur le KDC maître que vous avez spécifié.
Credentials cache file permissions incorrect
Origine : Vous ne disposez pas des autorisations de lecture ou d'écriture sur le cache d'informations d'identification (/tmp/krb5cc_uid).
Solution : Assurez-vous que vous disposez des autorisations de lecture ou d'écriture sur le cache d'informations d'identification.
Credentials cache I/O operation failed XXX
Origine : Kerberos a rencontré un problème lors de l'écriture dans le cache d'informations d'identification du système (/tmp/krb5cc_uid).
Solution : Assurez-vous que le cache d'informations d'identification n'a pas été supprimé et qu'il reste de l'espace sur le périphérique en utilisant la commande df.
Decrypt integrity check failed
Origine : Vous avez peut-être un ticket non valide.
Solution : Vérifiez les deux conditions suivantes :
Assurez-vous que vos informations d'identification sont valides. Détruisez vos tickets avec kdestroy et créez de nouveaux tickets avec kinit.
Assurez-vous que l'hôte cible dispose d'un fichier keytab avec la version correcte de la clé du service. Utilisez kadmin pour afficher le numéro de version de la clé du principal service (par exemple, host/FQDN-hostname) dans la base de données Kerberos. Utilisez également klist -k sur l'hôte cible pour vérifiez qu'il a le même numéro de version de clé.
Decrypt integrity check failed for client 'principal' and server 'hostname'
Origine : Vous avez peut-être un ticket non valide.
Solution : Assurez-vous que vos informations d'identification sont valides. Détruisez vos tickets avec la commande kdestroy, puis créez de nouveaux tickets avec la commande kinit.
Encryption could not be enabled. Goodbye.
Origine : Le chiffrement n'a pas pu être négocié avec le serveur.
Solution : Lancez le débogage d'authentification en appelant la commande telnet avec la commande toggle encdebug et consultez les messages de débogage pour en savoir plus.
Failed to find realm for principal in keytab
Origine : Le nom de domaine inclus dans le principal ne correspond pas au nom de domaine dans le principal stocké dans le fichier keytab.
Solution : Assurez-vous que les principaux utilisent le domaine correct.
failed to obtain credentials cache
Origine : Pendant l'initialisation de kadmin, une panne s'est produite lorsque kadmin a essayé afin d'obtenir des informations d'identification pour le principal admin.
Solution : Assurez-vous que vous avez utilisé le bon principal et le bon mot de passe lorsque vous avez exécuté kadmin.
Field is too long for this implementation
Origine : Le message qui a été envoyé par une application utilisant Kerberos était trop long. Cette erreur peut être générée si le protocole de transport est UDP, dont la taille maximale de message par défaut est 65535 octets. En outre, il existe des limites sur les champs individuels dans un message de protocole qui est envoyé par le service Kerberos.
Solution : Vérifiez que vous n'avez pas restreint le transport à UDP dans le fichier /etc/krb5/kdc.conf du serveur KDC.
GSS-API (or Kerberos) error
Origine : Ce message est un message d'erreur GSS-API ou Kerberos générique pouvant être causé par divers problèmes.
Solution : Vérifiez le fichier /var/krb5/kdc.log pour trouver le message d'erreur plus spécifique qui a été enregistré lorsque l'erreur s'est produite.
Hostname cannot be canonicalized for 'hostname': 'error-string'
Origine : Le client Kerberos ne peut pas trouver le nom d'hôte complet pour le serveur.
Solution : Assurez-vous que le nom d'hôte du serveur est défini dans le DNS et que les mappages adresse sur nom d'hôte et nom d'hôte sur adresse sont cohérents.
Illegal cross-realm ticket
Origine : Le ticket envoyé n'a pas les bons inter-domaines. Les domaines n'ont peut-être pas les bonnes relations d'approbation configurées.
Solution : Assurez-vous que les domaines que vous utilisez ont les bonnes relations d'approbation.
Improper format of Kerberos configuration file
Origine : Le fichier de configuration Kerberos a des entrées non valides.
Solution : Assurez-vous que toutes les relations dans le fichier krb5.conf sont suivies du signe “=” et d'une valeur. En outre, vérifiez que les crochets sont présents dans les paires pour chaque sous-section.
Inappropriate type of checksum in message
Origine : Le message contient une somme de contrôle non valide.
Solution : Vérifiez quels types de somme de contrôle valides sont indiqués dans les fichiers krb5.conf et kdc.conf.
Incorrect net address
Origine : Une incohérence s'est produite dans l'adresse réseau. L'adresse réseau dans le ticket qui a était transmis est différente de l'adresse réseau où le ticket a été traité. Ce message peut se produire lorsque des tickets sont transmis.
Solution : Assurez-vous que les adresses réseau sont correctes. Détruisez vos tickets avec kdestroy et créez de nouveaux tickets avec kinit.
Invalid credential was supplied
Service key not available
Origine : Le ticket de service du cache d'informations d'identification est peut-être incorrect.
Solution : Détruisez le cache d'informations d'identification actuel et exécutez de nouveau kinit avant d'essayer d'utiliser ce service.
Invalid flag for file lock mode
Origine : Une erreur Kerberos interne s'est produite.
Solution : Veuillez signaler un bogue.
Invalid message type specified for encoding
Origine : Kerberos n'a pas pu reconnaître le type de message qui a été envoyé par l'application utilisant Kerberos.
Solution : Si vous utilisez une application utilisant Kerberos qui a été développé par votre site ou un fournisseur, assurez-vous qu'elle utilise Kerberos correctement.
Invalid number of character classes
Origine : Le mot de passe que vous avez spécifié pour le principal ne contient pas suffisamment de classes de mot de passe, tel qu'appliqué par la stratégie du principal.
Solution : Assurez-vous que vous avez spécifié un mot de passe avec le nombre minimal de classes de mot de passe requis par la stratégie.
KADM err: Memory allocation failure
Origine : Il n'y a pas suffisamment de mémoire pour exécuter kadmin.
Solution : Libérez de la mémoire et essayez d'exécuter kadmin à nouveau.
kadmin: Bad encryption type while changing host/FQDN's key
Origine : Plusieurs types de chiffrement par défaut sont inclus dans la version de base après la version Solaris 10 8/07. Les clients peuvent demander des types de chiffrement qui ne sont peut-être pas pris en charge par un KDC exécuté sur une version antérieure du logiciel.
Solution : Plusieurs solutions existent pour résoudre ce problème. La plus facile à mettre en oeuvre est donnée en premier :
Ajoutez les packages SUNWcry et SUNWcryr sur le serveur KDC. Ceci permet d'augmenter le nombre de types de chiffrement pris en charge par le KDC.
Définissez permitted_enctypes dans krb5.conf sur le client pour que le type de chiffrement aes256 ne soit pas inclus. Cette étape doit être effectuée sur chaque nouveau client.
KDC can't fulfill requested option
Origine : Le KDC n'a pas autorisé l'option demandée. Il est possible que des options postdatables ou transmissibles soient demandées et que le KDC refuse. Un autre problème peut être une demande de renouvellement d'un TGT, sans avoir de TGT renouvelable.
Solution : Déterminez si vous demandez une option que le KDC n'autorise pas ou un type de ticket qui n'est pas disponible.
KDC policy rejects request
Origine : La stratégie du KDC n'a pas autorisé la demande. Par exemple, la demande au KDC n'a pas d'adresse IP. Ou une transmission a été demandée, mais le KDC ne l'a pas autorisée.
Solution : Assurez-vous que vous utilisez kinit avec les options appropriées. Si nécessaire, vous pouvez modifier la stratégie associée au principal ou modifier les attributs du principal afin d'autoriser la demande. Vous pouvez modifier la stratégie ou le principal en utilisant kadmin.
KDC reply did not match expectation: KDC not found. Probably got an unexpected realm referral
Origine : La réponse du KDC ne contient pas le nom de principal attendu ou d'autres valeurs dans la réponse n'étaient pas correctes.
Solution : Assurez-vous que le KDC avec lequel vous communiquez est conforme à RFC4120, que la demande envoyée est une demande Kerberos V5 ou que le KDC est disponible.
kdestroy: Could not obtain principal name from cache
Origine : Le cache d'informations d'identification est manquant ou endommagé.
Solution : Vérifiez que l'emplacement du cache fourni est correct. Supprimez et obtenez un nouveau TGT via kinit, si nécessaire.
kdestroy: No credentials cache file found while destroying cache
Origine : Le cache d'informations d'identification (/tmp/krb5c_ uid) est manquant ou endommagé.
Solution : Vérifiez que l'emplacement du cache fourni est correct. Supprimez et obtenez un nouveau TGT via kinit, si nécessaire.
kdestroy: TGT expire warning NOT deleted
Origine : Le cache d'informations d'identification est manquant ou endommagé.
Solution : Vérifiez que l'emplacement du cache fourni est correct. Supprimez et obtenez un nouveau TGT via kinit, si nécessaire.
Kerberos authentication failed
Origine : Le mot de passe Kerberos est incorrect ou ne peut pas être synchronisé avec le mot de passe UNIX.
Solution : Si les mots de passe ne sont pas synchronisés, vous devez spécifier un mot de passe différent pour terminer l'authentification Kerberos. Il est possible que l'utilisateur ait oublié son mot de passe d'origine.
Kerberos V5 refuses authentication
Origine : L'authentification n'a pas pu être négociée avec le serveur.
Solution : Lancez le débogage d'authentification en appelant la commande telnet avec la commande toggle authdebug et consultez les messages de débogage pour en savoir plus. En outre, assurez-vous que vous avez des informations d'identification valides.
Key table entry not found
Origine : Il n'existe aucune entrée pour le principal de service dans le fichier keytab du serveur d'application réseau.
Solution : Ajouter le principal de service approprié au fichier keytab du serveur afin de pouvoir fournir le service utilisant Kerberos.
Key table file 'filename' not found
Origine : Le fichier de table de clés nommé n'existe pas.
Solution : Créez le fichier de table de clés.
Key version number is not available for principal principal
Origine : La version des clés ne correspond pas à la version des clés sur le serveur d'application.
Solution : Vérifiez la version des clés sur le serveur d'application à l'aide de la commande klist -k.
Key version number for principal in key table is incorrect
Origine : La version de clé d'un principal dans le fichier keytab est différente de la version dans la base de données Kerberos. Soit la clé d'un service a été modifiée, soit vous utilisez un ancien ticket de service.
Solution : Si la clé d'un service a été modifiée (par exemple, en utilisant kadmin), vous devez extraire la nouvelle clé et la stocker dans le fichier keytab de l'hôte où le service est en cours d'exécution.
Sinon, vous utilisez peut-être un ancien ticket de service qui a une ancienne clé. Vous aurez peut-être besoin d'exécuter la commande kdestroy, puis la commande kinit à nouveau.
kinit: gethostname failed
Origine : Une erreur dans la configuration réseau local provoque l'échec de kinit.
Solution : Assurez-vous que l'hôte est correctement configuré.
login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1
Origine : Le module PAM de Kerberos est manquant ou il ne s'agit pas d'un binaire exécutable valide.
Solution : Assurez-vous que le module PAM de Kerberos est dans les /usr/lib/security Directory et qu'il s'agit d'un fichier exécutable valide binaire. Assurez-vous également que le /etc/pam.conf contient le chemin d'accès correct à pam_krb5.so.1.
Looping detected getting initial creds: 'client-principal' requesting ticket 'service-principal'. Max loops is value. Make sure a KDC is available.
Origine : Kerberos a tenté à plusieurs reprises d'obtenir les tickets initiaux mais n'a pas réussi.
Solution : Assurez-vous qu'au moins un KDC répond aux demandes d'authentification.
Master key does not match database
Origine : Le vidage de base de données chargé n'a pas été créé à partir d'une base de données qui contient la clé principale. La clé principale est située dans /var/krb5/.k5. REALM.
Solution : Assurez-vous que la clé principale dans le vidage de base de données chargé correspond à la clé principale qui se trouve dans /var/krb5/.k5. REALM.
Matching credential not found
Origine : Les informations d'identification correspondant à votre demande n'ont pas été trouvées. Votre demande exige l'utilisation d'informations d'authentification qui ne sont pas disponibles dans le cache d'informations d'identification.
Solution : Détruisez vos tickets avec kdestroy et créez de nouveaux tickets avec kinit.
Message out of order
Origine : Les messages qui ont été envoyés à l'aide d'une confidentialité à ordre séquentielle ont été livrés sans tenir compte de l'ordre. Certains messages ont peut-être été perdus dans le processus.
Solution : Vous devez réinitialiser la session Kerberos.
Message stream modified
Origine : Un conflit est survenu entre la somme de contrôle calculée et la somme de contrôle du message. Le message a peut-être été modifié pendant la transmission, ce qui peut indiquer un problème de sécurité.
Solution : Assurez-vous que les messages sont envoyés sur le réseau correctement. Etant donné que ce message peut également indiquer la possible altération des messages pendant qu'ils sont en cours d'envoi, détruisez vos tickets à l'aide de kdestroy et réinitialisez les services Kerberos que vous êtes en train d'utiliser.
Cette section fournit une liste alphabétique (N-Z) des messages d'erreur courants pour les commandes Kerberos, les démons Kerberos, la structure PAM, l'interface GSS, le service NFS et la bibliothèque Kerberos.
No credentials cache file found
Origine : Kerberos n'a pas trouvé le cache d'informations d'identification (/tmp/krb5cc_uid).
Solution : Assurez-vous que le fichier d'informations d'identification existe et qu'il est lisible. Si ce n'est pas le cas, essayez d'exécuter kinit une nouvelle fois.
No credentials were supplied, or the credentials were unavailable or inaccessible
No credential cache found
Origine : Le cache d'informations d'identification de l'utilisateur est incorrect ou n'existe pas.
Solution : L'utilisateur doit exécuter kinit avant d'essayer de démarrer le service.
No credentials were supplied, or the credentials were unavailable or inaccessible
No principal in keytab (' filename') matches desired name principal
Origine : Une erreur s'est produite au cours d'une tentative d'authentification du serveur.
Solution : Assurez-vous que l'hôte ou le principal de service est dans le fichier keytab du serveur.
Operation requires “privilege” privilege
Origine : Le principal admin qui était en cours d'utilisation n'a pas les privilèges appropriés configurés dans le fichier kadm5.acl.
Solution : Utilisez une identité qui dispose des privilèges appropriés. Vous pouvez également configurer le principal qui a été utilisé afin qu'il dispose des privilèges appropriés en modifiant le fichier kadm5.acl. Généralement, un principal contenant /admin dans son nom est doté des privilèges appropriés.
PAM-KRB5 (auth): krb5_verify_init_creds failed: Key table entry not found
Origine : L'application distante a tenté de lire le principal de service de l'hôte dans le fichier /etc/krb5/krb5.keytab local, mais il n'existe pas.
Solution : Ajoutez le principal de service de l'hôte au fichier keytab du serveur.
Password is in the password dictionary
Origine : Le mot de passe que vous avez spécifié se trouve dans un dictionnaire de mots de passe en cours d'utilisation. Votre mot de passe n'est pas un bon choix.
Solution : Choisissez un mot de passe qui mélange plusieurs classes de mot de passe.
Permission denied in replay cache code
Origine : Le cache de rediffusion du système n'a pas pu être ouvert. Votre serveur peut avoir été exécuté pour la première fois sous un ID utilisateur différent de votre ID d'utilisateur actuel.
Solution : Assurez-vous que le cache de rediffusion possède les autorisations appropriées. Le cache de rediffusion est stocké sur l'hôte sur lequel l'application de serveur utilisant Kerberos est en cours d'exécution. Le fichier du cache de rediffusion est appelé /var/krb5/rcache/rc_service_name_uid pour les utilisateurs non root. Pour les utilisateurs root le fichier du cache de rediffusion est appelé /var/krb5/rcache/root/rc_ service_name.
Protocol version mismatch
Origine : Une demande Kerberos V4 a probablement été envoyée au KDC. Le service Kerberos ne prend en charge que le protocole Kerberos V5.
Solution : Assurez-vous que vos applications utilisent le protocole Kerberos V5.
Request is a replay
Origine : La demande a déjà été envoyée à ce serveur et traitée. Les tickets ont peut-être été volés et quelqu'un d'autre essaie de les réutiliser.
Solution : Attendez quelques minutes et relancez la demande.
Requested principal and ticket don't match: Requested principal is 'service-principal' and TGT principal is 'TGT-principal'
Origine : Le principal de service auquel vous vous connectez et le ticket de service que vous avez ne correspondent pas.
Solution : Assurez-vous que le service DNS fonctionne correctement. Si vous utilisez un logiciel d'un autre fabricant, assurez-vous qu'il utilise correctement les noms de principaux.
Requested protocol version not supported
Origine : Une demande Kerberos V4 a probablement été envoyée au KDC. Le service Kerberos ne prend en charge que le protocole Kerberos V5.
Solution : Assurez-vous que vos applications utilisent le protocole Kerberos V5.
Service key service-principal not available
Origine : Le principal de service nommé ne se trouve pas dans le fichier keytab sur le serveur d'application.
Solution : Assurez-vous que le principal de service est inclus dans le fichier keytab sur le serveur d'application ou lui correspond.
Server refused to negotiate authentication, which is required for encryption. Good bye.
Origine : L'application distante n'est pas capable ou a été configuré de manière à ne pas accepter l'authentification Kerberos du client.
Solution : Fournissez une application distante qui peut négocier l'authentification ou configurez l'application pour qu'elle utilise les indicateurs appropriés pour activer l'authentification.
Server refused to negotiate encryption. Good bye.
Origine : Le chiffrement n'a pas pu être négocié avec le serveur.
Solution : Lancez le débogage d'authentification en appelant la commande telnet avec la commande toggle encdebug et consultez les messages de débogage pour en savoir plus.
Server rejected authentication (during sendauth exchange)
Origine : Le serveur avec lequel vous tentez de communiquer a rejeté l'authentification. La plupart du temps, cette erreur se produit pendant la propagation de base de données kerberos. Certaines causes courantes peuvent être des problèmes avec le fichier kpropd.acl, DNS ou le fichier keytab.
Solution : Si vous recevez ce message d'erreur lorsque vous exécutez des applications autres que kprop, cherchez à savoir si le fichier keytab du serveur est correct.
Server service-principal not found in Kerberos database
Origine : Le principal de service n'est pas correct ou manque dans la base de données du principal.
Solution : Assurez-vous que le principal de service est correct et qu'il se trouve dans la base de données.
Target name principal 'principal' does not match service-principal
Origine : Le principal de service en cours d'utilisation ne correspond pas au principal de service utilisé par le serveur d'application.
Solution : Sur le serveur d'application, veillez à ce que le principal de service soit inclus dans le fichier keytab. Pour le client, assurez-vous que le principal de service correct est utilisé.
The ticket isn't for us
Ticket/authenticator don't match
Origine : Un conflit est survenu entre le ticket et l'authentificateur. Le nom du principal de la demande peut ne pas correspondre au nom du principal de service. Soit le ticket a été envoyé avec un nom FQDN du principal alors que le service attendait un autre nom, soit le service attendait un FQDN et a reçu un autre nom.
Solution : Si vous recevez ce message d'erreur lorsque vous exécutez des applications autres que kprop, cherchez à savoir si le fichier keytab du serveur est correct.
Ticket expired
Origine : Votre ticket a expiré.
Solution : Détruisez vos tickets avec kdestroy et créez de nouveaux tickets avec kinit.
Ticket is ineligible for postdating
Origine : Le principal n'autorise pas ses tickets à être postdatés.
Solution : Modifier le principal avec kadmin pour l'autoriser.
Ticket not yet valid: 'client-principal ' requesting ticket 'service-principal' from 'kdc-hostname' (time). TGT start time is time.
Origine : Le ticket postdaté n'est pas encore valide.
Solution : Créez un nouveau ticket avec la date correcte ou attendez que le ticket actuel soit valide.
Truncated input file detected
Origine : Le fichier de vidage de base de données qui a été utilisé dans l'opération n'est pas un fichier de vidage complet.
Solution : Recréez le fichier de vidage ou utilisez-en un autre.
Unable to securely authenticate user ... exit
Origine : L'authentification n'a pas pu être négociée avec le serveur.
Solution : Lancez le débogage d'authentification en appelant la commande telnet avec la commande toggle authdebug et consultez les messages de débogage pour en savoir plus. En outre, assurez-vous que vous avez des informations d'identification valides.
Unknown encryption type: name
Origine : Le type de chiffrement inclus avec les informations d'identification ne peut pas être utilisé.
Solution : Déterminez les types de chiffrement utilisés par le client à l'aide de la commande klist -e. Assurez-vous que le serveur d'application prend en charge au moins l'un des types de chiffrement.
Wrong principal in request
Origine : Le ticket contenait un nom de principal non valide. Cette erreur peut indiquer un problème de DNS ou de FQDN.
Solution : Assurez-vous que le principal du service correspond au principal du ticket.
|