Mensajes de error de Kerberos

En esta sección se proporciona información acerca de los mensajes de error de Kerberos, incluido el motivo por el cual se produce cada error y una forma de solucionarlo.

Mensajes de error de la herramienta SEAM

Unable to view the list of principals or policies; use the Name field.

Causa: el principal admin con el que inició sesión no tiene el privilegio de lista (l) en el archivo ACL de Kerberos (kadm5.acl). Por lo tanto, no puede ver la lista de principales o la lista de políticas.

Solución: debe escribir los nombres de políticas y principales en el campo Nombre para trabajar con ellos o debe iniciar sesión con un principal con los privilegios apropiados.

JNI: Java array creation failed

JNI: Java class lookup failed

JNI: Java field lookup failed

JNI: Java method lookup failed

JNI: Java object lookup failed

JNI: Java object field lookup failed

JNI: Java string access failed

JNI: Java string creation failed

Causa: existe un problema grave con la interfaz nativa de Java que utiliza la herramienta SEAM (gkadmin).

Solución: salga de gkadmin y vuelva a iniciarlo. Si el problema persiste, informe acerca del error.

Mensajes de error comunes de Kerberos (A-M)

En esta sección se proporciona una lista en orden alfabético (A-M) de mensajes de error comunes de los comandos Kerberos, los daemons Kerberos, la estructura PAM, la interfaz GSS, el servicio NFS y la biblioteca Kerberos.

All authentication systems disabled; connection refused

Causa: esta versión de rlogind no admite ningún mecanismo de autenticación.

Solución: asegúrese de que rlogind se invoque con la opción -k.

Another authentication mechanism must be used to access this host

Causa: la autenticación no se pudo llevar a cabo.

Solución: asegúrese de que el cliente use el mecanismo Kerberos V5 para la autenticación.

Authentication negotiation has failed, which is required for encryption. Good bye.

Causa: no se pudo negociar la autenticación con el servidor.

Solución: inicie la depuración de autenticación mediante la invocación del comando telnet con el comando toggle authdebug y observe los mensajes de depuración para obtener más pistas. Además, asegúrese de tener credenciales válidas.

Bad krb5 admin server hostname while initializing kadmin interface

Causa: se configuró un nombre de host no válido para admin_server en el archivo krb5.conf.

Solución: asegúrese de que el nombre de host correcto para el KDC maestro se especifique en la línea admin_server en el archivo krb5.conf.

Bad lifetime value

Causa: el valor de vigencia especificado no es válido o su formato es incorrecto.

Solución: asegúrese de que el valor proporcionado coincida con lo establecido en la sección de formatos de hora de la página del comando man kinit(1).

Bad start time value

Causa: el valor de hora de inicio especificado no es válido o su formato es incorrecto.

Solución: asegúrese de que el valor proporcionado coincida con lo establecido en la sección de formatos de hora de la página del comando man kinit(1).

Cannot contact any KDC for requested realm

Causa: ningún KDC respondió en el dominio solicitado.

Solución: asegúrese de que al menos se pueda acceder a un KDC (maestro o esclavo) o que el daemon krb5kdc se ejecute en los KDC. Busque en el archivo /etc/krb5/krb5.conf la lista de KDC configurados (kdc = kdc-name).

Cannot determine realm for host: host is 'hostname'

Causa: Kerberos no puede determinar el nombre de dominio para el host.

Solución: asegúrese de que haya un nombre de dominio predeterminado o que las asignaciones de nombre de dominio estén configuradas en el archivo de configuración de Kerberos (krb5.conf).

Cannot find a kadmin KDC entry in krb5.conf(4) or DNS Service Location records for realm ' realmname'

Cannot find a kpassword KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'

Cannot find a master KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'

Cannot find any KDC entries in krb5.conf(4) or DNS Service Location records for realm 'realmname'

Causa: el archivo krb5.conf o el registro de servidor DNS se configuraron de manera incorrecta.

Solución: asegúrese de que el archivo de configuración de Kerberos (/etc/krb5/krb5.conf) o que los registros de servidor DNS para el KDC estén configurados correctamente.

Cannot find address for 'hostname': 'error-string'

Causa: no se encontró ninguna dirección en los registros DNS para el nombre de host proporcionado.

Solución: corrija el registro de host en DNS o corrija el error en el proceso de búsqueda de DNS.

Cannot find KDC for requested realm

Causa: no se encontró ningún KDC en el dominio solicitado.

Solución: asegúrese de que el archivo de configuración de Kerberos (krb5.conf) especifique un KDC en la sección realm.

cannot initialize realm realm-name

Causa: el KDC podría no tener un archivo intermedio.

Solución: asegúrese de que el KDC tenga un archivo intermedio. En caso contrario, cree un archivo intermedio mediante el comando kdb5_util e intente reiniciar el comando krb5kdc.

Cannot resolve KDC for requested realm

Causa: Kerberos no puede determinar ningún KDC para el dominio.

Solución: asegúrese de que el archivo de configuración de Kerberos (krb5.conf) especifique un KDC en la sección realm.

Cannot resolve network address for KDCs 'hostname' discovered via DNS Service Location records for realm 'realm-name'

Cannot resolve network address for KDCs 'hostname' specified in krb5.conf(4) for realm 'realm-name'

Causa: el archivo krb5.conf o el registro de servidor DNS se configuró de manera incorrecta.

Solución: asegúrese de que el archivo de configuración de Kerberos (/etc/krb5/krb5.conf) y que los registros de servidor DNS para el KDC estén configurados correctamente.

Cannot reuse password

Causa: este principal ya ha utilizado la contraseña que especificó.

Solución: seleccione una contraseña que no se haya elegido antes, al menos no dentro del número de contraseñas que se mantiene en la base de datos de KDC para cada principal. La política del principal aplica esta política.

Can't get forwarded credentials

Causa: no se pudo establecer el reenvío de credenciales.

Solución: asegúrese de que el principal tenga credenciales que se puedan reenviar.

Can't open/find Kerberos configuration file

Causa: el archivo de configuración de Kerberos (krb5.conf ) no estaba disponible.

Solución: asegúrese de que el archivo krb5.conf esté disponible en la ubicación correcta y tenga los permisos correctos. root debería poder escribir en este archivo y el resto debería poder leerlo.

Client 'principal ' not found in Kerberos database

Causa: el principal no se encuentra en la base de datos de Kerberos.

Solución: agregue el principal de cliente a la base de datos de Kerberos.

Client 'principal' pre-authentication failed

Causa: falló la autenticación para el principal.

Solución: asegúrese de que el usuario esté utilizando la contraseña correcta.

Client did not supply required checksum--connection rejected

Causa: no se negoció la autenticación con suma de comprobación con el cliente. Es posible que el cliente use un protocolo Kerberos V5 obsoleto que no admite conexión inicial.

Solución: asegúrese de que el cliente use un protocolo Kerberos V5 que admita conexión inicial.

Client/server realm mismatch in initial ticket request: 'client-principal' requesting ticket 'service-principal'

Causa: se produjo una discrepancia de dominios entre el cliente y el servidor en la solicitud de ticket inicial.

Solución: asegúrese de que el servidor con el que se comunica esté en el mismo dominio que el cliente o que las configuraciones de dominios sean correctas.

Client or server has a null key

Causa: el principal tiene una clave nula.

Solución: modifique el principal para que tenga una clave no nula mediante el comando cpw de kadmin.

Clock skew too great: 'client' requesting ticket 'service-principal ' from KDC 'KDC-hostname' ( KDC-time). Skew is value

Clock skew too great: 'client' AP request with ticket for 'service-principal '. Skew is value (allowable value)

Causa: la diferencia entre el tiempo informado en el cliente y el servidor KDC o servidor de aplicaciones es demasiado grande.

Solución: configure el protocolo de tiempo de red (NTP) para mantener los relojes sincronizados. Consulte Sincronización de relojes entre clientes Kerberos y KDC para obtener más información.

Communication failure with server while initializing kadmin interface

Causa: el host que se especificó para el servidor de administración, también denominado KDC maestro, no tiene los daemons kadmind en ejecución.

Solución: asegúrese de que ha especificado el nombre de host correcto para el KDC maestro. Si especificó el nombre de host correcto, asegúrese de que kadmind esté en ejecución en el KDC maestro que especificó.

Credentials cache file permissions incorrect

Causa: no tiene los permisos de lectura o escritura apropiados en la antememoria de credenciales (/tmp/krb5cc_uid).

Solución: asegúrese de tener los permisos de lectura y escritura en la antememoria de credenciales.

Credentials cache I/O operation failed XXX

Causa: Kerberos tuvo un problema al escribir en la antememoria de credenciales del sistema (/tmp/krb5cc_uid).

Solución: asegúrese de que la antememoria de credenciales no se haya eliminado y de que haya espacio libre en el dispositivo mediante el comando df.

Decrypt integrity check failed

Causa: es posible que tenga un ticket no válido.

Solución: verifique estas condiciones:

• asegúrese de que las credenciales sean válidas. Destruya los tickets con kdestroy y cree nuevos tickets con kinit.

• Asegúrese de que el host de destino tenga un archivo keytab con la versión correcta de la clave del servicio. Use kadmin para ver el número de versión de clave del principal de servicio (por ejemplo, host/FQDN-hostname) en la base de datos de Kerberos. Asimismo, utilice klist -k en el host de destino para asegúrese de que tenga el mismo número de versión de clave.

Decrypt integrity check failed for client 'principal' and server 'hostname'

Causa: es posible que tenga un ticket no válido.

Solución: asegúrese de que las credenciales sean válidas. Destruya los tickets con el comando kdestroy y cree nuevos tickets con el comando kinit.

Encryption could not be enabled. Goodbye.

Causa: no se pudo negociar el cifrado con el servidor.

Solución: inicie la depuración de autenticación mediante la invocación del comando telnet con el comando toggle encdebug y observe los mensajes de depuración para obtener más pistas.

Failed to find realm for principal in keytab

Causa: el nombre de dominio incluido en el principal no coincide con el nombre de dominio en el principal almacenado en el archivo keytab.

Solución: asegúrese de que el los principales estén utilizando el dominio correcto.

failed to obtain credentials cache

Causa: durante la inicialización de kadmin, se produjo un error cuando kadmin intentó obtener credenciales para el principal admin.

Solución: asegúrese de haber utilizado el principal y la contraseña correctos cuando ejecutó kadmin.

Field is too long for this implementation

Causa: el tamaño del mensaje que enviaba una aplicación Kerberizada era demasiado largo. Este error se puede generar si el protocolo de transporte es UDP. Que tiene un tamaño máximo de mensaje de 65535 bytes de manera predeterminada. Además, hay límites en los campos individuales dentro de un mensaje de protocolo que se envía por el servicio Kerberos.

Solución: verifique que no haya restringido el transporte a UDP en el archivo /etc/krb5/kdc.conf del servidor KDC.

GSS-API (or Kerberos) error

Causa: este mensaje es un mensaje de error genérico de GSS-API o Kerberos y puede ser causado por diversos problemas.

Solución: compruebe el archivo /var/krb5/kdc.log para encontrar el mensaje de error más específico que se registró cuando se produjo este error.

Hostname cannot be canonicalized for 'hostname': 'error-string'

Causa: el cliente Kerberos no puede encontrar el nombre de host completo para el servidor.

Solución: asegúrese de que el nombre de host del servidor esté definido en DNS y que las asignaciones de nombre de host a dirección y de dirección a nombre de host sean consistentes.

Illegal cross-realm ticket

Causa: el ticket enviado no tenía los dominios cruzados correctos. Es posible que los dominios no tengan configuradas las relaciones de confianza correctas.

Solución: asegúrese de que los dominios que utilice tengan las relaciones de confianza correctas.

Improper format of Kerberos configuration file

Causa: el archivo de configuración de Kerberos tiene entradas no válidas.

Solución: asegúrese de que todas las relaciones en el archivo krb5.conf estén seguidas del signo “=” y un valor. Asimismo, verifique que los paréntesis estén presentes en pares para cada subsección.

Inappropriate type of checksum in message

Causa: el mensaje contenía un tipo de suma de comprobación no válido.

Solución: compruebe qué tipos de suma de comprobación se especifican en los archivos krb5.conf y kdc.conf.

Incorrect net address

Causa: existe una discrepancia en la dirección de red. La dirección de red en el ticket que se reenviaba era distinta de la dirección de red donde se procesó el ticket. Este mensaje puede aparecer cuando los tickets se reenvían.

Solución: asegúrese de que las direcciones de red sean correctas. Destruya los tickets con kdestroy y cree nuevos tickets con kinit.

Invalid credential was supplied

Service key not available

Causa: es posible que el ticket de servicio en la antememoria de credenciales sea incorrecto.

Solución: destruya la antememoria de credenciales actual y vuelva a ejecutar kinit antes de intentar utilizar este servicio.

Invalid flag for file lock mode

Causa: se produjo un error de Kerberos interno.

Solución: informe acerca del error.

Invalid message type specified for encoding

Causa: Kerberos no pudo reconocer el tipo de mensaje que se envió mediante la aplicación Kerberizada.

Solución: si utiliza una aplicación Kerberizada desarrollada por su sitio o un vendedor, asegúrese de que la aplicación utilice Kerberos correctamente.

Invalid number of character classes

Causa: la contraseña que especificó para el principal no contiene suficientes clases de contraseñas, como si se aplica mediante la política del principal.

Solución: asegúrese de especificar una contraseña con el número mínimo de clases de contraseñas que la política necesita.

KADM err: Memory allocation failure

Causa: no hay suficiente memoria para ejecutar kadmin.

Solución: libere memoria e intente ejecutar kadmin nuevamente.

kadmin: Bad encryption type while changing host/FQDN's key

Causa: se incluyen más tipos de cifrado de manera predeterminada después de la versión base de Solaris 10 8/07. Los clientes pueden solicitar tipos de cifrado que posiblemente no sean admitidos por un KDC que ejecuta una versión anterior del software.

Solución: existen varias soluciones para este problema. La más fácil de implementar es la que se enumera primero:

1. Agregar los paquetes SUNWcry y SUNWcryr al servidor KDC. Esto aumenta el número de tipos de cifrado admitidos por KDC.

2. Establecer permitted_enctypes en krb5.conf en el cliente si no desea incluir el tipo de cifrado aes256. Será necesario realizar este paso en cada nuevo cliente.

KDC can't fulfill requested option

Causa: KDC no permite la opción solicitada. Un posible problema podría ser que las opciones de posfechado o reenvío se hayan solicitado y KDC no las haya permitido. Otro problema podría ser que usted solicitó la renovación de un TGT, pero no disponía de un TGT renovable.

Solución: determine si solicita una opción que KDC no permite o un tipo de ticket que no se encuentra disponible.

KDC policy rejects request

Causa: la política de KDC no permite la solicitud. Por ejemplo, la solicitud al KDC no tenía una dirección IP en su solicitud. O se solicitó el reenvío pero el KDC no lo permitía.

Solución: asegúrese de utilizar kinit con las opciones correctas. Si es necesario, modifique la política que está asociada con el principal o cambie los atributos del principal para permitir la solicitud. Puede modificar la política o el principal mediante kadmin.

KDC reply did not match expectation: KDC not found. Probably got an unexpected realm referral

Causa: la respuesta de KDC no contenía el nombre de principal esperado u otros valores en la respuesta eran incorrectos.

Solución: asegúrese de que el KDC con el que se comunica cumpla con RFC4120, que la solicitud que envía sea una solicitud Kerberos V5 y que el KDC esté disponible.

kdestroy: Could not obtain principal name from cache

Causa: la antememoria de credenciales no se encuentra o está dañada.

Solución: compruebe que la ubicación de la antememoria proporcionada sea correcta. Elimine y obtenga un nuevo TGT mediante kinit, si es necesario.

kdestroy: No credentials cache file found while destroying cache

Causa: la antememoria de credenciales (/tmp/krb5c_uid) no se encuentra o está dañada.

Solución: compruebe que la ubicación de la antememoria proporcionada sea correcta. Elimine y obtenga un nuevo TGT mediante kinit, si es necesario.

kdestroy: TGT expire warning NOT deleted

Causa: la antememoria de credenciales no se encuentra o está dañada.

Solución: compruebe que la ubicación de la antememoria proporcionada sea correcta. Elimine y obtenga un nuevo TGT mediante kinit, si es necesario.

Kerberos authentication failed

Causa: la contraseña de Kerberos es incorrecta o es posible que la contraseña no esté sincronizada con la contraseña de UNIX.

Solución: si la contraseña no está sincronizada, debe especificar una contraseña diferente para completar la autenticación Kerberos. Es posible que el usuario haya olvidado su contraseña original.

Kerberos V5 refuses authentication

Causa: no se pudo negociar la autenticación con el servidor.

Solución: inicie la depuración de autenticación mediante la invocación del comando telnet con el comando toggle authdebug y observe los mensajes de depuración para obtener más pistas. Además, asegúrese de tener credenciales válidas.

Key table entry not found

Causa: no existe ninguna entrada para el principal de servicio en el archivo keytab del servidor de aplicación de red.

Solución: agregue el principal de servicio apropiado al archivo keytab del servidor para que pueda proporcionar el servicio Kerberizado.

Key table file 'filename' not found

Causa: el archivo de tabla de claves mencionado no existe.

Solución: cree el archivo de tabla de claves.

Key version number is not available for principal principal

Causa: la versión de clave de las claves no coincide con la versión para las claves en el servidor de aplicaciones.

Solución: compruebe la versión de las claves en el servidor de aplicaciones mediante el comando klist -k

Key version number for principal in key table is incorrect

Causa: una versión de clave del principal en el archivo keytab es diferente de la versión en la base de datos de Kerberos. Es posible que una clave del servicio haya cambiado o que utilice un ticket de servicio antiguo.

Solución: si la clave del servicio ha cambiado (por ejemplo, mediante el uso de kadmin), deberá extraer la nueva clave y almacenarla en el archivo keytab del host donde se ejecuta el servicio.

Asimismo, es posible que utilice un ticket de servicio antiguo que tiene una clave anterior. Es posible que desee ejecutar el comando kdestroy y luego el comando kinit nuevamente.

kinit: gethostname failed

Causa: un error en la configuración de red local provoca el fallo de kinit.

Solución: asegúrese de que el host esté configurado correctamente.

login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1

Causa: no se encuentra el módulo PAM de Kerberos o no es un binario ejecutable válido.

Solución: asegúrese de que el módulo PAM de Kerberos esté en el directorio /usr/lib/security y que sea un binario ejecutable válido. Además, asegúrese de que el archivo /etc/pam.conf contenga la ruta correcta a pam_krb5.so.1.

Looping detected getting initial creds: 'client-principal' requesting ticket 'service-principal'. Max loops is value. Make sure a KDC is available.

Causa: Kerberos realizó varios intentos de obtener los tickets iniciales pero no tuvo éxito.

Solución: asegúrese de que al menos un KDC responda a las solicitudes de autenticación.

Master key does not match database

Causa: el volcado de base de datos cargado no se creó a partir de una base de datos que contiene la clave maestra. La clave maestra se encuentra en /var/krb5/.k5. REALM.

Solución: asegúrese de que la clave maestra en el volcado de base de datos cargado coincida con la clave maestra ubicada en /var/krb5/.k5. REALM.

Matching credential not found

Causa: la credencial concordante para su solicitud no se ha encontrado. Su solicitud necesita credenciales que no están disponibles en la antememoria de credenciales.

Solución: Destruya los tickets con kdestroy y cree nuevos tickets con kinit.

Message out of order

Causa: mensajes que se enviaron utilizando privacidad de orden secuencial llegaron fuera de orden. Es posible que algunos mensajes se hayan perdido en el tránsito.

Solución: debe reinicializar la sesión de Kerberos.

Message stream modified

Causa: existe una discrepancia entre la suma de comprobación calculada y la suma de comprobación de mensaje. Es posible que el mensaje se haya modificado durante el tránsito, lo que puede indicar una infracción de seguridad.

Solución: asegúrese de que los mensajes se envíen a través de la red correctamente. Debido a que este mensaje también puede indicar la posible alteración de mensajes durante el envío, destruya los tickets mediante kdestroy y reinicialice los servicios Kerberos que esté utilizando.

Mensajes de error comunes de Kerberos (N-Z)

En esta sección se proporciona una lista en orden alfabético (N-Z) de mensajes de error comunes de los comandos Kerberos, los daemons Kerberos, la estructura PAM, la interfaz GSS, el servicio NFS y la biblioteca Kerberos.

No credentials cache file found

Causa: Kerberos no pudo encontrar la antememoria de credenciales (/tmp/krb5cc_uid).

Solución: asegúrese de que el archivo de credenciales exista y se pueda leer. En caso contrario, intente ejecutar kinit nuevamente.

No credentials were supplied, or the credentials were unavailable or inaccessible

No credential cache found

Causa: la antememoria de credenciales del usuario es incorrecta o no existe.

Solución: el usuario debe ejecutar kinit antes de intentar iniciar el servicio.

No credentials were supplied, or the credentials were unavailable or inaccessible

No principal in keytab (' filename') matches desired name principal

Causa: se ha producido un error al intentar autenticar el servidor.

Solución: asegúrese de que el host o principal de servicio estén en el archivo keytab del servidor.

Operation requires “privilege” privilege

Causa: el principal admin que estaba en uso no tenía el privilegio adecuado configurado en el archivo kadm5.acl.

Solución: utilice un principal que tenga los privilegios adecuados. O bien, configure el principal que estaba en uso para que tenga los privilegios adecuados mediante la modificación del archivo kadm5.acl. Normalmente, un principal con /admin como parte de su nombre tiene los privilegios adecuados.

PAM-KRB5 (auth): krb5_verify_init_creds failed: Key table entry not found

Causa: la aplicación remota intentó leer el principal de servicio del host en el archivo local /etc/krb5/krb5.keytab, pero no existe.

Solución: agregue el principal de servicio del host al archivo keytab del host.

Password is in the password dictionary

Causa: la contraseña que especificó está en un diccionario de contraseñas que está en uso. La contraseña no es una buena elección para una contraseña.

Solución: seleccione una contraseña que tenga una mezcla de clases de contraseñas.

Permission denied in replay cache code

Causa: no se pudo abrir la antememoria de reproducción del sistema. Es posible que el servidor se haya ejecutado por primera vez con un ID de usuario diferente del ID de usuario actual.

Solución: asegúrese de que la antememoria de reproducción tenga los permisos adecuados. La antememoria de reproducción se almacena en el host donde la aplicación de servidor Kerberizada está en ejecución. El archivo de antememoria de reproducción se denomina /var/krb5/rcache/rc_ service_name_uid para usuarios no root. Para los usuarios root, el archivo de antememoria de reproducción se denomina /var/krb5/rcache/root/rc_nombre_servicio.

Protocol version mismatch

Causa: lo más probable es que una solicitud de Kerberos V4 se haya enviado al KDC. El servicio Kerberos sólo admite el protocolo Kerberos V5.

Solución: asegúrese de que las aplicaciones utilicen el protocolo Kerberos V5.

Request is a replay

Causa: la solicitud ya se ha enviado a este servidor y ya se ha procesado. Es posible que los tickets hayan sido robados y alguien esté intentando volver a utilizar los tickets.

Solución: espere unos minutos y vuelva a emitir la solicitud.

Requested principal and ticket don't match: Requested principal is 'service-principal' and TGT principal is 'TGT-principal'

Causa: el principal de servicio al que se conecta y el ticket de servicio que posee no concuerdan.

Solución: asegúrese de que DNS funcione correctamente. Si utiliza el software de otro proveedor, asegúrese de que el software utilice los nombres de principal correctamente.

Requested protocol version not supported

Causa: lo más probable es que una solicitud de Kerberos V4 se haya enviado al KDC. El servicio Kerberos sólo admite el protocolo Kerberos V5.

Solución: asegúrese de que las aplicaciones utilicen el protocolo Kerberos V5.

Service key service-principal not available

Causa: el principal de servicio denominado no está en el archivo keytab en el servidor de aplicaciones.

Solución: asegúrese de que el principal de servicio coincida o se incluya en el archivo keytab en el servidor de aplicaciones.

Server refused to negotiate authentication, which is required for encryption. Good bye.

Causa: la aplicación remota no es capaz o se ha configurado para no aceptar la autenticación Kerberos del cliente.

Solución: proporcione una aplicación remota que puede negociar la autenticación o configurar la aplicación para que utilice los indicadores adecuados para activar la autenticación.

Server refused to negotiate encryption. Good bye.

Causa: no se pudo negociar el cifrado con el servidor.

Solución: inicie la depuración de autenticación mediante la invocación del comando telnet con el comando toggle encdebug y observe los mensajes de depuración para obtener más pistas.

Server rejected authentication (during sendauth exchange)

Causa: el servidor con el que intenta comunicarse rechazó la autenticación. La mayoría de las veces, este error se produce durante la propagación de la base de datos de Kerberos. Algunas de las causas comunes podrían ser problemas relacionados con el archivo kpropd.acl, DNS o el archivo keytab.

Solución: si recibe este error cuando ejecuta aplicaciones que no sean kprop, investigue si el archivo keytab del servidor es correcto.

Server service-principal not found in Kerberos database

Causa: el principal de servicio no es correcto o no se encuentra en la base de datos de principal.

Solución: asegúrese de que el principal de servicio sea correcto y que esté en la base de datos.

Target name principal ' principal' does not match service-principal

Causa: el principal de servicio que se está utilizando no coincide con el principal de servicio que utiliza el servidor de aplicaciones.

Solución: en el servidor de aplicaciones, asegúrese de que el principal de servicio se incluya en el archivo keytab. Para el cliente, asegúrese de que se utilice el principal servicio correcto.

The ticket isn't for us

Ticket/authenticator don't match

Causa: existe una discrepancia entre el ticket y el autenticador. Es posible que el nombre del principal en la solicitud no haya coincidido con el nombre del principal de servicio. Ya sea porque el ticket se envió con un nombre FQDN del principal mientras que el servicio esperaba un nombre no FQDN, o se envió un nombre no FQDN cuando el servicio esperaba un nombre FQDN.

Solución: si recibe este error cuando ejecuta aplicaciones que no sean kprop, investigue si el archivo keytab del servidor es correcto.

Ticket expired

Causa: el tiempo del ticket ha caducado.

Solución: Destruya los tickets con kdestroy y cree nuevos tickets con kinit.

Ticket is ineligible for postdating

Causa: el principal no permite que los tickets sean posfechados.

Solución: modifique el principal con kadmin para permitir que sea posfechado.

Ticket not yet valid: 'client-principal ' requesting ticket 'service-principal' from 'kdc-hostname' (time). TGT start time is time.

Causa: el ticket posfechado no es válido todavía.

Solución: cree un nuevo ticket con la fecha correcta o espere hasta que el ticket actual sea válido.

Truncated input file detected

Causa: el archivo de volcado de base de datos que se utilizaba en la operación no era un archivo de volcado completo.

Solución: cree el archivo de volcado de nuevo o utilice un archivo de volcado de base de datos diferente.

Unable to securely authenticate user ... exit

Causa: no se pudo negociar la autenticación con el servidor.

Solución: inicie la depuración de autenticación mediante la invocación del comando telnet con el comando toggle authdebug y observe los mensajes de depuración para obtener más pistas. Además, asegúrese de tener credenciales válidas.

Unknown encryption type: name

Causa: el tipo de cifrado que se incluye con la credencial no se puede utilizar.

Solución: determine qué tipos de cifrado utiliza el cliente con el comando klist -e. Asegúrese de que el servidor de aplicaciones admita al menos uno de los tipos de cifrado.

Wrong principal in request

Causa: había un nombre de principal no válido en el ticket. Este error puede indicar que hay un problema de DNS o FQDN.

Solución: asegúrese de que el principal del servicio coincida con el principal en el ticket.