| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
이 절에서는 각 오류가 발생하는 이유와 해결 방법을 비롯하여 Kerberos 오류 메시지에 대한 정보를 제공합니다.
Unable to view the list of principals or policies; use the Name field.
원인: 로그인한 admin 주체가 Kerberos ACL 파일(kadm5.acl)에서 나열 권한(l)을 보유하고 있지 않습니다. 따라서 주체 목록 또는 정책 목록을 볼 수 없습니다.
해결책: 이를 위해 Name(이름) 필드에 주체 및 정책 이름을 사용하거나, 적절한 권한이 있는 주체로 로그인해야 합니다.
JNI: Java array creation failed
JNI: Java class lookup failed
JNI: Java field lookup failed
JNI: Java method lookup failed
JNI: Java object lookup failed
JNI: Java object field lookup failed
JNI: Java string access failed
JNI: Java string creation failed
원인: SEAM 도구에서 사용하는 Java Native Interface(gkadmin)에 심각한 문제가 있습니다.
해결책: gkadmin을 종료한 후 다시 시작하십시오. 문제가 계속되면 버그를 보고하십시오.
이 절에서는 Kerberos 명령, Kerberos 데몬, PAM 프레임워크, GSS 인터페이스, NFS 서비스 및 Kerberos 라이브러리에 대한 일반 오류 메시지 목록(A-M)을 제공합니다.
All authentication systems disabled; connection refused
원인: 이 버전의 rlogind는 인증 방식을 지원하지 않습니다.
해결책: rlogind가 -k 옵션과 함께 호출되었는지 확인하십시오.
Another authentication mechanism must be used to access this host
원인: 인증을 수행할 수 없습니다.
해결책: 클라이언트가 Kerberos V5 인증 방식을 사용하고 있는지 확인하십시오.
Authentication negotiation has failed, which is required for encryption. Good bye.
원인: 서버와 인증을 협상할 수 없습니다.
해결책: telnet 명령을 toggle authdebug 명령과 함께 호출하여 인증 디버깅을 시작하고, 추가 내용은 디버그 메시지를 확인하십시오. 또한 유효한 자격 증명이 있는지도 확인하십시오.
Bad krb5 admin server hostname while initializing kadmin interface
원인: krb5.conf 파일에서 admin_server에 대해 잘못된 호스트 이름이 구성되었습니다.
해결책: 마스터 KDC에 대해 올바른 호스트 이름이 krb5.conf 파일의 admin_server 행에 지정되었는지 확인하십시오.
Bad lifetime value
원인: 제공된 수명 값이 유효하지 않거나 올바르지 않은 형식입니다.
해결책: 제공된 값이 kinit(1) 매뉴얼 페이지의 Time Formats 절과 일치하는지 확인하십시오.
Bad start time value
원인: 제공된 시작 시간 값이 유효하지 않거나 올바르지 않은 형식입니다.
해결책: 제공된 값이 kinit(1) 매뉴얼 페이지의 Time Formats 절과 일치하는지 확인하십시오.
Cannot contact any KDC for requested realm
원인: 요청한 영역에 응답하는 KDC가 없습니다.
해결책: 적어도 하나의 KDC(마스터 또는 슬레이브)에 연결 가능한지 또는 krb5kdc 데몬이 KDC에서 실행 중인지 확인하십시오. /etc/krb5/krb5.conf 파일에서 구성된 KDC(kdc = kdc-name )의 목록을 확인하십시오.
Cannot determine realm for host: host is 'hostname'
원인: Kerberos가 호스트에 대한 영역 이름을 확인할 수 없습니다.
해결책: 기본 영역 이름이 있는지 또는 도메인 이름 매핑이 Kerberos 구성 파일(krb5.conf)에 설정되었는지 확인하십시오.
Cannot find a kadmin KDC entry in krb5.conf(4) or DNS Service Location records for realm ' realmname'
Cannot find a kpassword KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find a master KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find any KDC entries in krb5.conf(4) or DNS Service Location records for realm 'realmname'
원인: krb5.conf 파일 또는 DNS 서버 레코드가 올바르지 않게 구성되었습니다.
해결책: Kerberos 구성 파일(/etc/krb5/krb5.conf) 또는 KDC에 대한 DNS 서버 레코드가 제대로 구성되었는지 확인하십시오.
Cannot find address for 'hostname': 'error-string'
원인: 지정된 호스트 이름에 대한 DNS 레코드에서 주소를 찾을 수 없습니다.
해결책: DNS에서 호스트 레코드를 수정하거나, DNS 조회 프로세스에서 오류를 수정하십시오.
Cannot find KDC for requested realm
원인: 요청한 영역에서 KDC를 찾을 수 없습니다.
해결책: Kerberos 구성 파일(krb5.conf)의 realm 섹션에 KDC가 지정되었는지 확인하십시오.
cannot initialize realm realm-name
원인: KDC에 stash 파일이 없는 것일 수 있습니다.
해결책: KDC에 stash 파일이 있는지 확인하십시오. 없을 경우 kdb5_util 명령을 사용하여 stash 파일을 만든 다음 krb5kdc 명령을 다시 시작하십시오.
Cannot resolve KDC for requested realm
원인: Kerberos가 영역에 대한 KDC를 확인할 수 없습니다.
해결책: Kerberos 구성 파일(krb5.conf)의 realm 섹션에 KDC가 지정되었는지 확인하십시오.
Cannot resolve network address for KDCs 'hostname' discovered via DNS Service Location records for realm 'realm-name'
Cannot resolve network address for KDCs 'hostname' specified in krb5.conf(4) for realm 'realm-name'
원인: krb5.conf 파일 또는 DNS 서버 레코드가 올바르지 않게 구성되었습니다.
해결책: Kerberos 구성 파일(/etc/krb5/krb5.conf) 및 KDC에 대한 DNS 서버 레코드가 제대로 구성되었는지 확인하십시오.
Cannot reuse password
원인: 지정한 암호가 이전에 이 주체에 의해 사용되었습니다.
해결책: 이전에 선택한 적이 없는 암호를 선택하되, 암호가 적어도 KDC 데이터베이스에 주체별로 보존된 암호 수 내에 있지 않아야 합니다. 이 정책은 주체 정책에 따라 적용됩니다.
Can't get forwarded credentials
원인: 자격 증명 전달을 설정할 수 없습니다.
해결책: 주체가 전달 가능 자격 증명을 보유하고 있는지 확인하십시오.
Can't open/find Kerberos configuration file
원인: Kerberos 구성 파일(krb5.conf)을 사용할 수 없습니다.
해결책: krb5.conf 파일이 올바른 위치에서 사용 가능하며 올바른 권한을 보유하고 있는지 확인하십시오. root는 이 파일을 쓸 수 있어야 하며 그 외의 다른 사용자는 읽을 수 있어야 합니다.
Client 'principal ' not found in Kerberos database
원인: Kerberos 데이터베이스에서 주체가 누락되었습니다.
해결책: Kerberos 데이터베이스에 클라이언트 주체를 추가하십시오.
Client 'principal' pre-authentication failed
원인: 주체에 대한 사전 인증이 실패했습니다.
해결책: 사용자가 올바른 암호를 사용하고 있는지 확인하십시오.
Client did not supply required checksum--connection rejected
원인: 체크섬을 사용하는 인증이 클라이언트와 협상되지 않았습니다. 클라이언트가 초기 연결을 지원하지 않는 이전 Kerberos V5 프로토콜을 사용하고 있을 수 있습니다.
해결책: 클라이언트가 초기 연결을 지원하는 Kerberos V5 프로토콜을 사용하고 있는지 확인하십시오.
Client/server realm mismatch in initial ticket request: 'client-principal' requesting ticket 'service-principal'
원인: 초기 티켓 영역에서 클라이언트와 서버 간 영역 불일치가 발생했습니다.
해결책: 통신 중인 서버가 클라이언트와 동일한 영역에 있는지 또는 영역 구성이 올바른지 확인하십시오.
Client or server has a null key
원인: 주체에 널 키가 있습니다.
해결책: kadmin의 cpw 명령을 사용하여 주체가 널이 아닌 키를 갖도록 수정하십시오.
Clock skew too great: 'client' requesting ticket 'service-principal ' from KDC 'KDC-hostname' ( KDC-time). Skew is value
Clock skew too great: 'client' AP request with ticket for 'service-principal '. Skew is value (allowable value)
원인: 클라이언트와 KDC 서버 또는 애플리케이션 서버에 보고된 시간 차가 너무 큽니다.
해결책: 시계가 동기화 상태를 유지하도록 NTP(네트워크 시간 프로토콜)를 구성하십시오. 자세한 내용은 KDC와 Kerberos 클라이언트 간의 클럭 동기화를 참조하십시오.
Communication failure with server while initializing kadmin interface
원인: 관리 서버(마스터 KDC라고도 함)에 대해 지정된 호스트에서 kadmind 데몬이 실행 중이지 않습니다.
해결책: 마스터 KDC에 대해 올바른 호스트 이름을 지정했는지 확인하십시오. 올바른 호스트 이름을 지정한 경우, 지정한 마스터 KDC에서 kadmind이 실행 중인지 확인하십시오.
Credentials cache file permissions incorrect
원인: 자격 증명 캐시(/tmp/krb5cc_uid)에 대해 적합한 읽기 또는 쓰기 권한을 가지고 있습니다.
해결책: 자격 증명 캐시에 대한 읽기 또는 쓰기 권한이 있는지 확인하십시오.
Credentials cache I/O operation failed XXX
원인: 시스템의 자격 증명 캐시(/tmp/krb5cc_uid)에 쓰는 중 Kerberos에서 문제가 발생했습니다.
해결책: 자격 증명 캐시가 제거되었는지, df 명령을 사용하여 장치에 남은 공간이 있는지 확인하십시오.
Decrypt integrity check failed
원인: 잘못된 티켓이 있을 수 있습니다.
해결책: 다음 두 조건을 확인하십시오.
자격 증명이 유효한지 확인하십시오. kdestroy를 사용하여 티켓을 삭제한 다음 kinit를 사용하여 티켓을 새로 만드십시오.
대상 호스트에 서비스 키의 버전이 올바른 keytab 파일이 있는지 확인하십시오. Kerberos 데이터베이스에서 서비스 주체(예: host/FQDN-hostname)의 키 버전 번호를 확인하려면 kadmin을 사용하십시오. 또한 대상 호스트에서 klist -k를 사용하여 동일한 키 버전 번호를 갖는지도 확인하십시오.
Decrypt integrity check failed for client 'principal' and server 'hostname'
원인: 잘못된 티켓이 있을 수 있습니다.
해결책: 자격 증명이 유효한지 확인하십시오. kdestroy 명령을 사용하여 티켓을 삭제한 다음 kinit 명령을 사용하여 티켓을 새로 만드십시오.
Encryption could not be enabled. Goodbye.
원인: 서버와 암호화를 협상할 수 없습니다.
해결책: telnet 명령을 toggle encdebug 명령과 함께 호출하여 인증 디버깅을 시작하고, 추가 내용은 디버그 메시지를 확인하십시오.
Failed to find realm for principal in keytab
원인: principal에 포함된 영역 이름이 keytab 파일에 저장된 주체의 영역 이름과 일치하지 않습니다.
해결책: 주체가 올바른 영역을 사용하고 있는지 확인하십시오.
failed to obtain credentials cache
원인: kadmin 초기화 중 kadmin이 admin 주체에 대한 자격 증명을 얻으려고 시도했는데 오류가 발생했습니다.
해결책: kadmin을 실행할 때 올바른 주체와 암호를 사용했는지 확인하십시오.
Field is too long for this implementation
원인: Kerberos화된 응용 프로그램에서 전송 중인 메시지 크기가 너무 큽니다. 전송 프로토콜이 UDP인 경우 이 오류가 발생할 수 있습니다. 이 경우 기본 최대 메시지 크기는 65535바이트입니다. 또한 Kerberos 서비스에서 전송한 프로토콜 메시지 내에 개별 필드에 대한 제한이 있습니다.
해결책: KDC 서버의 /etc/krb5/kdc.conf 파일에서 전송을 UDP로 제한하지 않았는지 확인하십시오.
GSS-API (or Kerberos) error
원인: 이 메시지는 일반 GSS-API 또는 Kerberos 오류 메시지로, 서로 다른 여러 문제로 인해 발생할 수 있습니다.
해결책: /var/krb5/kdc.log 파일을 확인하여 이 오류가 발생했을 때 기록된 더 구체적인 오류 메시지를 찾으십시오.
Hostname cannot be canonicalized for 'hostname': 'error-string'
원인: Kerberos 클라이언트가 서버에 대한 완전 수식 호스트 이름을 찾을 수 없습니다.
해결책: 서버 호스트 이름이 DNS에 정의되어 있는지, 호스트 이름-주소 및 주소-호스트 이름 매핑이 일치하는지 확인하십시오.
Illegal cross-realm ticket
원인: 전송한 티켓에 올바른 상호 영역이 없습니다. 영역에 올바른 신뢰 관계가 설정되지 않았을 수 있습니다.
해결책: 사용 중인 영역에 올바른 신뢰 관계가 설정되었는지 확인하십시오.
Improper format of Kerberos configuration file
원인: Kerberos 구성 파일에 잘못된 항목이 있습니다.
해결책: krb5.conf 파일의 모든 관계 뒤에 “=” 기호와 값이 있는지 확인하십시오. 또한 각 하위 섹션에 대한 쌍에 대괄호가 있는지도 확인하십시오.
Inappropriate type of checksum in message
원인: 메시지에 잘못된 체크섬 유형이 포함되었습니다.
해결책: krb5.conf 및 kdc.conf 파일에 유효한 체크섬 유형이 지정되었는지 확인하십시오.
Incorrect net address
원인: 네트워크 주소 불일치가 있습니다. 전달 중이었던 티켓의 네트워크 주소가 티켓이 처리된 네트워크 주소와 다릅니다. 이 메시지는 티켓 전송 중에 표시될 수 있습니다.
해결책: 네트워크 주소가 올바른지 확인하십시오. kdestroy를 사용하여 티켓을 삭제한 다음 kinit를 사용하여 티켓을 새로 만드십시오.
Invalid credential was supplied
Service key not available
원인: 자격 증명 캐시에 있는 서비스 티켓이 올바르지 않을 수 있습니다.
해결책: 이 서비스를 사용하기 전에 현재 자격 증명 캐시를 삭제한 다음 kinit를 다시 실행하십시오.
Invalid flag for file lock mode
원인: 내부 Kerberos 오류가 발생했습니다.
해결책: 버그를 보고하십시오.
Invalid message type specified for encoding
원인: Kerberos가 Kerberos화된 응용 프로그램에서 전송한 메시지 유형을 인식할 수 없습니다.
해결책: 사이트 또는 공급업체에서 개발한 Kerberos화된 응용 프로그램을 사용 중인 경우, Kerberos를 올바르게 사용하고 있는지 확인하십시오.
Invalid number of character classes
원인: 주체에 대해 지정한 암호가 주체 정책에서 요구하는 충분한 암호 클래스를 포함하고 있지 않습니다.
해결책: 정책이 요구하는 최소 암호 클래스 수를 갖는 암호를 지정했는지 확인하십시오.
KADM err: Memory allocation failure
원인: kadmin을 실행하기에 메모리가 부족합니다.
해결책: 메모리를 해제한 후 다시 kadmin을 실행해 보십시오.
kadmin: Bad encryption type while changing host/FQDN's key
원인: 새 릴리스에서는 기본 릴리스에 더 많은 기본 암호화 유형이 포함됩니다. 이전 버전의 소프트웨어에서 실행 중인 KDC에서는 지원되지 않는 암호화 유형을 클라이언트가 요청할 수 있습니다.
해결책: 이 문제를 해결하기 위한 몇 가지 해결 방법이 있습니다. 구현하기 가장 쉬운 방법부터 나열됩니다.
SUNWcry 및 SUNWcryr 패키지를 KDC 서버에 추가합니다. 그러면 KDC에서 지원하는 암호화 유형 수가 늘어납니다.
클라이언트의 krb5.conf에서 permitted_enctypes를 설정하여 aes256 암호화 유형이 포함되지 않도록 합니다. 이 단계는 새 클라이언트마다 수행해야 합니다.
KDC can't fulfill requested option
원인: KDC에서 요청한 옵션을 허용하지 않습니다. 후일자 또는 전달 가능 옵션을 요청했는데 KDC에서 이를 허용하지 않는 것이 문제일 수 있습니다. 또한 TGT 갱신을 요청했지만 갱신 가능 TGT가 없는 것도 문제일 수 있습니다.
해결책: KDC에서 허용하지 않는 옵션 또는 사용할 수 없는 티켓의 유형을 요청하고 있는지 확인하십시오.
KDC policy rejects request
원인: KDC 정책이 요청을 허용하지 않습니다. 예를 들어 KDC에 대한 요청에 IP 주소가 없습니다. 전달을 요청했는데 KDC에서 이를 허용하지 않습니다.
해결책: 올바른 옵션과 함께 kinit를 사용하고 있는지 확인하십시오. 필요한 경우 주체와 연관된 정책을 수정하거나, 요청을 허용하도록 주체의 속성을 변경하십시오. kadmin을 사용하여 정책이나 주체를 수정할 수 있습니다.
KDC reply did not match expectation: KDC not found. Probably got an unexpected realm referral
원인: KDC 응답에 예상 주체 이름이 포함되어 있지 않거나, 응답의 다른 값이 올바르지 않습니다.
해결책: 통신 중인 KDC가 RFC4120을 준수하는지, 전송하는 요청이 Kerberos V5 요청인지, KDC가 사용 가능한지 확인하십시오.
kdestroy: Could not obtain principal name from cache
원인: 자격 증명 캐시가 누락되었거나 손상되었습니다.
해결책: 제공된 캐시 위치가 올바른지 확인하십시오. TGT를 제거하고 필요한 경우 kinit를 사용하여 새 TGT를 얻으십시오.
kdestroy: No credentials cache file found while destroying cache
원인: 자격 증명 캐시(/tmp/krb5c_ uid)가 누락되었거나 손상되었습니다.
해결책: 제공된 캐시 위치가 올바른지 확인하십시오. TGT를 제거하고 필요한 경우 kinit를 사용하여 새 TGT를 얻으십시오.
kdestroy: TGT expire warning NOT deleted
원인: 자격 증명 캐시가 누락되었거나 손상되었습니다.
해결책: 제공된 캐시 위치가 올바른지 확인하십시오. TGT를 제거하고 필요한 경우 kinit를 사용하여 새 TGT를 얻으십시오.
Kerberos authentication failed
원인: Kerberos 암호가 올바르지 않거나, 암호가 UNIX 암호와 동기화되지 않았을 수 있습니다.
해결책: 암호가 동기화되지 않은 경우 다른 암호를 지정하여 Kerberos 인증을 완료해야 합니다. 사용자가 자신의 원래 암호를 잊어버렸을 수 있습니다.
Kerberos V5 refuses authentication
원인: 서버와 인증을 협상할 수 없습니다.
해결책: telnet 명령을 toggle authdebug 명령과 함께 호출하여 인증 디버깅을 시작하고, 추가 내용은 디버그 메시지를 확인하십시오. 또한 유효한 자격 증명이 있는지도 확인하십시오.
Key table entry not found
원인: 네트워크 애플리케이션 서버의 keytab 파일에 서비스 주체에 대한 항목이 없습니다.
해결책: Kerberos화된 서비스를 제공할 수 있도록 적합한 서비스 주체를 서버의 keytab 파일에 추가하십시오.
Key table file 'filename' not found
원인: 지정된 키 테이블 파일이 없습니다.
해결책: 키 테이블 파일을 만드십시오.
Key version number is not available for principal principal
원인: 키 버전이 애플리케이션 서버의 키 버전과 일치하지 않습니다.
해결책: klist -k 옵션을 사용하여 애플리케이션 서버의 키 버전을 확인하십시오.
Key version number for principal in key table is incorrect
원인: keytab 파일의 주체 키 버전이 Kerberos 데이터베이스의 버전과 다릅니다. 서비스 키가 변경되었거나 이전 서비스 티켓을 사용하고 있을 수 있습니다.
해결책: 서비스 키가 변경된 경우(예: kadmin을 사용하여), 새 키를 추출한 다음 서비스가 실행 중인 호스트 keytab 파일에 저장해야 합니다.
또는 이전 키를 포함하는 이전 서비스 티켓을 사용하고 있을 수 있습니다. kdestroy 명령을 실행한 다음 kinit 명령을 다시 실행할 수 있습니다.
kinit: gethostname failed
원인: 로컬 네트워크 구성의 오류로 인해 kinit가 실패했습니다.
해결책: 호스트가 올바르게 구성되었는지 확인하십시오.
login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1
원인: Kerberos PAM 모듈이 누락되었거나 유효한 실행 파일 이진이 아닙니다.
해결책: Kerberos PAM 모듈이 /usr/lib/security 디렉토리에 있으며 유효한 실행 파일 이진인지 확인하십시오. 또한 /etc/pam.conf 파일이 pam_krb5.so.1에 대한 올바른 경로를 포함하고 있는지도 확인하십시오.
Looping detected getting initial creds: 'client-principal' requesting ticket 'service-principal'. Max loops is value. Make sure a KDC is available.
원인: Kerberos가 초기 티켓을 얻으려고 여러 번 시도했지만 실패했습니다.
해결책: 적어도 하나의 KDC가 인증 요청에 응답하는지 확인하십시오.
Master key does not match database
원인: 로드된 데이터베이스 덤프가 마스터 키를 포함하는 데이터베이스에서 생성되지 않았습니다. 마스터 키는 /var/krb5/.k5.REALM에 있습니다.
해결책: 로드된 데이터베이스 덤프의 마스터 키가 /var/krb5/.k5.REALM에 있는 마스터 키와 일치하는지 확인하십시오.
Matching credential not found
원인: 요청의 일치하는 자격 증명을 찾을 수 없습니다. 자격 증명 캐시에 사용할 수 없는 자격 증명이 요청에 필요합니다.
해결책: kdestroy를 사용하여 티켓을 삭제한 다음 kinit를 사용하여 티켓을 새로 만드십시오.
Message out of order
원인: 순차적 프라이버시를 사용하여 전송된 메시지가 잘못된 순서로 도착했습니다. 전송 중 일부 메시지가 손실되었을 수 있습니다.
해결책: Kerberos 세션을 다시 초기화해야 합니다.
Message stream modified
원인: 계산된 체크섬과 메시지 체크섬 간에 불일치가 있습니다. 전송 중 메시지가 수정되었을 수 있는데, 이는 보안 누출을 나타내는 것일 수 있습니다.
해결책: 메시지가 네트워크를 통해 올바르게 전송되고 있는지 확인하십시오. 이 메시지는 또한 전송 중에 메시지가 변조되었을 가능성을 나타내는 것일 수도 있으므로, kdestroy를 사용하여 티켓을 삭제한 다음 사용 중인 Kerberos 서비스를 다시 초기화하십시오.
이 절에서는 Kerberos 명령, Kerberos 데몬, PAM 프레임워크, GSS 인터페이스, NFS 서비스 및 Kerberos 라이브러리에 대한 일반 오류 메시지 목록(N-Z)을 제공합니다.
No credentials cache file found
원인: Kerberos가 자격 증명 캐시(/tmp/krb5cc_uid)를 찾을 수 없습니다.
해결책: 자격 증명 파일이 있으며 읽기 가능한지 확인하십시오. 그렇지 않을 경우 kinit를 다시 수행해 보십시오.
No credentials were supplied, or the credentials were unavailable or inaccessible
No credential cache found
원인: 사용자의 자격 증명 캐시가 올바르지 않거나 없습니다.
해결책: 서비스를 시작하기 전에 사용자가 kinit를 실행해야 합니다.
No credentials were supplied, or the credentials were unavailable or inaccessible
No principal in keytab (' filename') matches desired name principal
원인: 서버 인증 중 오류가 발생했습니다.
해결책: 호스트 또는 서비스 주체가 서버의 Keytab 파일에 있는지 확인하십시오.
Operation requires “privilege” privilege
원인: 사용 중인 admin 주체가 kadm5.acl 파일에 구성된 적합한 권한을 보유하고 있지 않습니다.
해결책: 적합한 권한이 있는 주체를 사용하십시오. 또는 kadm5.acl 파일을 수정하여 사용 중인 주체가 적합한 권한을 보유하도록 구성하십시오. 보통 /admin을 이름의 일부로 사용하는 주체는 적합한 권한을 보유하고 있습니다.
PAM-KRB5 (auth): krb5_verify_init_creds failed: Key table entry not found
원인: 원격 응용 프로그램이 로컬 /etc/krb5/krb5.keytab 파일에 있는 호스트의 서비스 주체를 읽으려고 했는데, 해당 주체가 존재하지 않습니다.
해결책: 호스트의 Keytab 파일에 호스트의 서비스 주체를 추가하십시오.
Password is in the password dictionary
원인: 지정한 암호가 사용 중인 암호 사전에 있습니다. 이 암호는 적합한 암호가 아닙니다.
해결책: 암호 클래스가 혼합된 암호를 선택하십시오.
Permission denied in replay cache code
원인: 시스템의 재생 캐시를 열 수 없습니다. 서버가 현재 사용자 ID 대신 다른 사용자 ID로 처음 실행되었을 수 있습니다.
해결책: 재생 캐시에 적합한 권한이 있는지 확인하십시오. 재생 캐시는 Kerberos화된 응용 프로그램이 실행 중인 호스트에 저장됩니다. 비root 사용자의 재생 캐시 파일은 /var/krb5/rcache/rc_service_name_ uid입니다. 루트 사용자의 재생 캐시 파일은 /var/krb5/rcache/root/rc_ service_name입니다.
Protocol version mismatch
원인: Kerberos V4 요청이 KDC로 전송되었을 가능성이 가장 높습니다. Kerberos 서비스는 Kerberos V5 프로토콜만 지원합니다.
해결책: 응용 프로그램이 Kerberos V5 프로토콜을 사용하고 있는지 확인하십시오.
Request is a replay
원인: 요청이 이미 이 서버로 전송되어 처리되었습니다. 티켓을 도난 당했을 수 있으며 다른 사람이 티켓을 재사용하려고 합니다.
해결책: 잠시 기다렸다가 요청을 다시 발행하십시오.
Requested principal and ticket don't match: Requested principal is 'service-principal' and TGT principal is 'TGT-principal'
원인: 연결 중인 서비스 주체와 보유하고 있는 서비스 티켓이 일치하지 않습니다.
해결책: DNS가 올바르게 작동하는지 확인하십시오. 다른 공급업체의 소프트웨어를 사용 중인 경우 해당 소프트웨어가 주체 이름을 올바르게 사용하고 있는지 확인하십시오.
Requested protocol version not supported
원인: Kerberos V4 요청이 KDC로 전송되었을 가능성이 가장 높습니다. Kerberos 서비스는 Kerberos V5 프로토콜만 지원합니다.
해결책: 응용 프로그램이 Kerberos V5 프로토콜을 사용하고 있는지 확인하십시오.
Service key service-principal not available
원인: 이름이 지정된 서비스 주체가 애플리케이션 서버의 Keytab 파일에 없습니다.
해결책: 서비스 주체가 일치하는지 또는 애플리케이션 서버의 Keytab 파일에 포함되었는지 확인하십시오.
Server refused to negotiate authentication, which is required for encryption. Good bye.
원인: 원격 응용 프로그램이 클라이언트의 Kerberos 인증을 수락할 수 없거나, 수락하지 않도록 구성되었습니다.
해결책: 인증 협상이 가능한 원격 응용프로그램을 제공하거나, 인증을 설정하는 적합한 플래그를 사용하도록 응용 프로그램을 구성하십시오.
Server refused to negotiate encryption. Good bye.
원인: 서버와 암호화를 협상할 수 없습니다.
해결책: telnet 명령을 toggle encdebug 명령과 함께 호출하여 인증 디버깅을 시작하고, 추가 내용은 디버그 메시지를 확인하십시오.
Server rejected authentication (during sendauth exchange)
원인: 통신하려는 서버가 인증을 거부했습니다. 이 오류는 대개 Kerberos 데이터베이스 전파 중에 발생합니다. 몇 가지 공통된 원인으로 인해 kpropd.acl 파일, DNS 또는 keytab 파일 관련 문제가 발생할 수 있습니다.
해결책: kprop가 아닌 다른 응용 프로그램을 실행할 때 이 오류가 발생하는 경우 서버의 Keytab 파일이 올바른지 확인하십시오.
Server service-principal not found in Kerberos database
원인: 서비스 주체가 올바르지 않거나 주체 데이터베이스에서 누락되었습니다.
해결책: 서비스 주체가 올바르며 데이터베이스에 있는지 확인하십시오.
Target name principal ' principal' does not match service-principal
원인: 사용 중인 서비스 주체가 애플리케이션 서버가 사용 중인 서비스 주체와 일치하지 않습니다.
해결책: 애플리케이션 서버에서 서비스 주체가 Keytab 파일에 포함되었는지 확인하십시오. 클라이언트의 경우 올바른 서비스 주체를 사용하고 있는지 확인하십시오.
The ticket isn't for us
Ticket/authenticator don't match
원인: 티켓과 인증자 간에 불일치가 있습니다. 요청의 주체 이름이 서비스 주체의 이름과 일치하지 않을 수 있습니다. 서비스에는 비FQDN 이름이 필요한데 주체의 FQDN 이름으로 티켓을 전송했거나, 서버에 FQDN 이름이 필요한데 비FQDN 이름을 전송했기 때문입니다.
해결책: kprop가 아닌 다른 응용 프로그램을 실행할 때 이 오류가 발생하는 경우 서버의 Keytab 파일이 올바른지 확인하십시오.
Ticket expired
원인: 티켓 시간이 만료되었습니다.
해결책: kdestroy를 사용하여 티켓을 삭제한 다음 kinit를 사용하여 티켓을 새로 만드십시오.
Ticket is ineligible for postdating
원인: 주체가 후일자 티켓을 허용하지 않습니다.
해결책: kadmin을 사용하여 후일자를 허용하도록 주체를 수정하십시오.
Ticket not yet valid: 'client-principal ' requesting ticket 'service-principal' from 'kdc-hostname' (time). TGT start time is time.
원인: 후일자 티켓이 아직 유효하지 않습니다.
해결책: 올바른 날짜를 사용하여 새 티켓을 만들거나, 현재 티켓이 유효해질 때까지 기다리십시오.
Truncated input file detected
원인: 작업에 사용된 데이터베이스 덤프 파일이 완전한 덤프 파일이 아닙니다.
해결책: 덤프 파일을 다시 만들거나, 다른 데이터베이스 덤프 파일을 사용하십시오.
Unable to securely authenticate user ... exit
원인: 서버와 인증을 협상할 수 없습니다.
해결책: telnet 명령을 toggle authdebug 명령과 함께 호출하여 인증 디버깅을 시작하고, 추가 내용은 디버그 메시지를 확인하십시오. 또한 유효한 자격 증명이 있는지도 확인하십시오.
Unknown encryption type: name
원인: 자격 증명에 포함된 암호화 유형을 사용할 수 없습니다.
해결책: klist -e 명령을 사용하여 클라이언트에서 사용할 암호화 유형을 결정하십시오. 애플리케이션 서버가 적어도 하나의 암호화 유형을 지원하는지 확인하십시오.
Wrong principal in request
원인: 티켓에 잘못된 주체 이름이 있습니다. 이 오류는 DNS 또는 FQDN 문제를 나타내는 것일 수 있습니다.
해결책: 서비스 주체가 티켓의 주체와 일치하는지 확인하십시오.
|