このセクションでは、Kerberos のエラーメッセージ、エラーの発生原因、およびその対処方法について説明します。
このセクションでは、Kerberos コマンド、Kerberos デーモン、PAM フレームワーク、GSS インタフェース、NFS サービス、および Kerberos ライブラリに共通するエラーメッセージを、英語版メッセージのアルファベット順 (A - M) に示します。
Bad lifetime value (有効期間の値が無効です。)
Cause: 指定した有効期限値が無効または間違った形式です。
解決策: 指定された値が、kinit(1) のマニュアルページの時間形式のセクションに適合していることを確認してください。
Bad start time value (開始時間の値が無効です。)
Cause: 指定した開始時間が無効または間違った形式です。
解決策: 指定された値が、kinit(1) のマニュアルページの時間形式のセクションに適合していることを確認してください。
Cannot contact any KDC for requested realm (要求されたレルムの KDC に接続できません。)
Cause: 要求されたレルムの KDC が応答しません。
解決策: 1 つ以上の KDC (マスターまたはスレーブ) にアクセスできること、または krb5kdc デーモンが KDC 上で動作していることを確認してください。/etc/krb5/krb5.conf ファイルに指定されている構成済みの KDC (kdc = kdc-name) を確認してください。
Cannot determine realm for host: host is 'hostname ' (ホストのレルムを判断できません: ホストは 'hostname' です。)
Cause: Kerberos がホストのレルム名を判断できません。
解決策: デフォルトのレルム名を指定するか、Kerberos 構成ファイル (krb5.conf) にドメイン名のマッピングを設定してください。
Cannot find a kadmin KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname' (krb5.conf(4) 内に kadmin KDC エントリが見つからないか、レルム 'realmname' の DNS サービスロケーションレコードが見つかりません)
Cannot find a kpassword KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname' (krb5.conf(4) 内に kpassword KDC エントリが見つからないか、レルム 'realmname' の DNS サービスロケーションレコードが見つかりません。)
Cannot find a kpassword KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname' (krb5.conf(4) 内にマスター KDC エントリが見つからないか、レルム 'realmname' の DNS サービスロケーションレコードが見つかりません。)
Cannot find a kpassword KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname' (krb5.conf(4) 内に KDC エントリが見つからないか、レルム 'realmname' の DNS サービスロケーションレコードが見つかりません。)
Cause: krb5.conf ファイルまたは DNS サーバーレコードのどちらかが正しく構成されていません。
解決策: Kerberos 構成ファイル (/etc/krb5/krb5.conf) または KDC の DNS サーバーレコードが適切に構成されていることを確認してください。
Cannot find address for 'hostname': 'error-string ' ('hostname' のアドレスが見つかりません: 'error-string')
Cause: 指定されたホスト名の DNS レコード内にアドレスが見つかりません。
解決策: DNS 内のホストレコードを修正するか、DNS 検索プロセス内のエラーを訂正してください。
cannot initialize realm realm-name (レルム realm-name を初期化できません。)
Cause: KDC に stash ファイルが存在しない可能性があります。
解決策: KDC に stash ファイルが存在することを確認してください。存在しない場合は、kdb5_util コマンドを使用して stash ファイルを作成し、再度 krb5kdc コマンドを実行します。
Cannot resolve KDC for requested realm (要求されたレルムの KDC を解決できません。)
Cause: Kerberos がレルムの KDC を判断できません。
解決策: Kerberos 構成ファイル (krb5.conf) の realm セクションに KDC が指定されていることを確認してください。
Cannot resolve network address for KDCs 'hostname ' discovered via DNS Service Location records for realm 'realm-name' (レルム 'realm-name' の DNS サービスロケーションレコードを介して検出された KDC の 'hostname' のネットワークアドレスを解決できません。)
Cannot resolve network address for KDCs 'hostname' specified in krb5.conf(4) for realm 'realm-name' (レルム 'realm-name' の krb5.conf(4) 内に指定された KDC の 'hostname' のネットワークアドレスを解決できません。)
Cause: krb5.conf ファイルまたは DNS サーバーレコードのどちらかが正しく構成されていません。
解決策: Kerberos 構成ファイル (/etc/krb5/krb5.conf) および KDC の DNS サーバーレコードが適切に構成されていることを確認してください。
Can't open/find Kerberos configuration file (Kerberos 構成ファイルを開けません / 見つかりません。)
Cause: Kerberos 構成ファイル (krb5.conf) を使用できませんでした。
解決策: krb5.conf ファイルが、正しい場所に配置されていることを確認してください。また、このファイルに正しいアクセス権が与えられていることを確認してください。このファイルに対する書き込み権は root、読み込み権はすべてのユーザーに与える必要があります。
Client 'principal ' pre-authentication failed (クライアントの 'principal' の事前認証に失敗しました。)
Cause: その主体の認証に失敗しました。
解決策: ユーザーが正しいパスワードを使用していることを確認してください。
Client or server has a null key (クライアントまたはサーバーの鍵が空です。)
Cause: クライアントまたはサーバーの鍵が空です。
解決策: kadmin の cpw コマンドを使用して、主体の鍵の値を入力してください。
Communication failure with server while initializing kadmin interface (kadmin インタフェースを初期化中に、サーバーとの通信の失敗です。)
Cause: マスター KDC として指定されたサーバーで kadmind デーモンが動作していませんでした。
解決策: マスター KDC に正しいサーバー名が指定されていることを確認してください。正しいサーバー名が指定されている場合は、指定したマスター KDC 上で kadmind が動作していることを確認してください。
Credentials cache file permissions incorrect (資格キャッシュファイルのアクセス権が正しくありません。)
Cause: 資格キャッシュ (/tmp/krb5cc_uid) に対する読み取り権または書き込み権が適切ではありません。
解決策: 資格キャッシュに対する読み取り権および書き込み権があることを確認してください。
Credentials cache I/O operation failed XXX (資格キャッシュ入出力操作が失敗しました。 XXX)
Cause: システムの資格キャッシュ (/tmp/krb5cc_uid) に書き込むときに、Kerberos で問題が発生しました。
解決策: 資格キャッシュが削除されていないことを確認するとともに、df コマンドを使用してデバイス上に空き領域があることを確認してください。
Decrypt integrity check failed (復号化で整合性チェックが失敗しました。)
Cause: チケットが無効である可能性があります。
解決策: 次の条件の両方を確認してください。
資格が有効であることを確認してください。kdestroy を使用してチケットを破棄し、kinit を使用して新しいチケットを作成します。
対象ホストのキータブファイルに対して、正しいバージョンのサービス鍵が割り当てられていることを確認してください。kadmin を使用して、Kerberos データベース内のサービス主体 (host/FQDN-hostname など) の鍵バージョン番号を表示します。また、ターゲットホスト上で klist -k コマンドを使用して、その鍵バージョン番号が同じであることも確認してください。
Decrypt integrity check failed for client 'principal' and server 'hostname' (クライアント 'principal' およびサーバー 'hostname' で復号化の整合性チェックに失敗しました。)
Cause: チケットが無効である可能性があります。
解決策: 資格が有効であることを確認してください。kdestroy コマンドを使用してチケットを破棄し、kinit コマンドを使用して新しいチケットを作成します。
failed to obtain credentials cache (資格キャッシュを取得できませんでした。)
Cause: kadmin の初期化中に、kadmin が admin 主体の資格を取得しようとしましたが、失敗しました。
解決策: kadmin コマンドを実行したときに、正しい主体とパスワードを使用したことを確認してください。
Field is too long for this implementation (この実装ではフィールドが長すぎます。)
Cause: Kerberos アプリケーションから送信されたメッセージのサイズが長すぎます。このエラーは、トランスポートプロトコルが UDP の場合に発生します。UDP では、デフォルトの最大メッセージ長は 65535 バイトです。また、Kerberos サービスから送信されるプロトコルメッセージの各フィールドにも制限があります。
解決策: KDC サーバーの /etc/krb5/kdc.conf ファイルでトランスポートを UDP に制限していないことを確認してください。
GSS-API (or Kerberos) error (GSS-API (または Kerberos) エラー)
Cause: このメッセージは、汎用 GSS-API または Kerberos のエラーメッセージで、いくつかの問題の組み合わせによって発生した可能性があります。
解決策: /var/krb5/kdc.log ファイルを確認して、このエラーが発生したときに詳細なエラーメッセージが記録されているかどうかを確認してください。
Improper format of Kerberos configuration file (Kerberos 構成ファイルのフォーマットが不適切です。)
Cause: Kerberos 構成ファイルに無効なエントリがあります。
解決策: krb5.conf ファイル内のすべての関係式に、= 記号と値が使用されていることを確認してください。また、各下位セクションが角カッコで囲まれていることも確認してください。
Invalid credential was supplied (無効な資格が指定されました。)
Service key not available (サービス鍵が使用できません。)
Cause: 資格キャッシュ内のサービスチケットが間違っている可能性があります。
解決策: このサービスを使用しようとする前に、現在の資格キャッシュを破棄し、kinit コマンドを再実行してください。
Invalid flag for file lock mode (ファイルロックモードのフラグが無効です。)
Cause: Kerberos の内部エラーが発生しました。
解決策: バグを報告してください。
Invalid message type specified for encoding (エンコードに対し無効なメッセージタイプが指定されました。)
Cause: Kerberos アプリケーションによって送信されたメッセージタイプが Kerberos で認識されませんでした。
解決策: 使用するサイトまたはベンダーで開発した Kerberos アプリケーションを使用している場合は、Kerberos が正しく使用されていることを確認してください。
kadmin: Bad encryption type while changing host/FQDN's key (host/FQDN の鍵の変更中に不正な暗号化タイプが見つかりました。)
Cause: 新しいリリースの基本リリースには、デフォルトの暗号化タイプが追加されました。以前のバージョンの ソフトウェアを実行している KDC がサポートしない暗号化タイプをクライアントが要求する場合があります。
解決策: aes256 暗号化タイプを含まないように、クライアント上の krb5.conf の permitted_enctypes を設定します。この手順は、新しいクライアントが追加されるごとに実行する必要があります。
KDC can't fulfill requested option (KDC は要求したオプションを処理できません。)
Cause: 要求されたオプションを KDC が許可しませんでした。遅延または転送可能オプションが要求されましたが、KDC が許可しませんでした。または、TGT の更新が要求されましたが、更新可能な TGT が存在しない可能性があります。
解決策: KDC が許可しないオプションまたは使用できない種類のチケットを要求していないかどうかを確認してください。
KDC reply did not match expectation: KDC not found. Probably got an unexpected realm referral (KDC の応答が期待したものと一致しませんでした。KDC が見つかりません。おそらく予期しないレルムのリフェラルを受け取りました。)
Cause: KDC の応答に予期した主体名が含まれていないか、応答内のその他の値が正しくありません。
解決策: 通信先の KDC が RFC4120 に準拠していること、送信している要求が Kerberos V5 要求であること、および KDC が利用可能であることを確認してください。
kdestroy:Could not obtain principal name from cache (キャッシュから主体名を取得できません。)
Cause: 資格キャッシュが欠落しているか、または破壊されています。
解決策: 指定したキャッシュ位置が正しいことを確認してください。必要に応じて、kinit を使用して削除し、新しい TGT を取得してください。
kdestroy:Could not obtain principal name from cache (キャッシュの破棄中に資格キャッシュが見つかりませんでした。)
Cause: 資格キャッシュ (/tmp/krb5c_uid) がないか、または壊れています。
解決策: 指定したキャッシュ位置が正しいことを確認してください。必要に応じて、kinit を使用して削除し、新しい TGT を取得してください。
kdestroy:Could not obtain principal name from cache (TGT 期限切れの警告が削除されません。)
Cause: 資格キャッシュが欠落しているか、または破壊されています。
解決策: 指定したキャッシュ位置が正しいことを確認してください。必要に応じて、kinit を使用して削除し、新しい TGT を取得してください。
Kerberos authentication failed (Kerberos 認証に失敗しました。)
Cause: Kerberos パスワードが正しくないか、または UNIX パスワードと一致していません。
解決策: パスワードが同期されていない場合は、認証を完了するために Kerberos パスワードを指定する必要があります。ユーザーが元のパスワードを忘れた可能性があります。
Key version number is not available for principal principal (鍵バージョン number が主体 principal に使用できません。)
Cause: 鍵の鍵バージョンが、アプリケーションサーバー上の鍵のバージョンに一致しません。
解決策: klist -k コマンドを使用して、アプリケーションサーバー上の鍵のバージョンを確認してください。
Key version number for principal in key table is incorrect (鍵テーブルの主体の鍵バージョン番号が正しくありません。)
Cause: サーバーのキータブファイル内の主体の鍵バージョンが Kerberos データベース内のバージョンと異なります。サービスの鍵が変更されたか、旧サービスチケットを使用している可能性があります。
解決策: kadmin などによってサービスの鍵が変更されている場合は、新しい鍵を抽出して、サービスが動作しているホストのキータブファイルに格納する必要があります。または、古い鍵を含む古いサービスチケットを使用している可能性があります。kdestroy コマンドを実行し、次に kinit コマンドを再度実行してください。
kinit: gethostname failed (gethostname が失敗しました。)
Cause: ローカルネットワーク構成でのエラーは、kinit が失敗する原因になります。
解決策: ホストが正しく構成されていることを確認してください。
login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1 (load_modules: /usr/lib/security/pam_krb5.so.1 モジュールを開けません。)
Cause: Kerberos PAM モジュールが存在しないか、有効な実行可能バイナリではありません。
解決策: Kerberos PAM モジュールが /usr/lib/security ディレクトリに存在し、有効な実行可能バイナリであることを確認してください。また、login の PAM 構成ファイルに pam_krb5.so.1 への正しいパスが含まれていることも確認してください。
Looping detected getting initial creds: 'client-principal' requesting ticket 'service-principal'. Max loops is value. Make sure a KDC is available. (最初の資格の取得中にループが検出されました: 'client-principal' がチケット 'service-principal' を要求しています。最大ループ回数は value です。KDC が利用可能であることを確認してください。)
Cause: Kerberos が初期チケットを複数回取得しようとしましたが、失敗しました。
解決策: 認証要求に対して 1 つ以上の KDC が応答していることを確認してください。
Master key does not match database (マスター鍵がデータベースと一致しません。)
Cause: 読み込まれたデータベースのダンプが、マスター鍵を含むデータベースから作成されませんでした。マスター鍵は /var/krb5/.k5.REALM 内に格納されています。
解決策: ロードされたデータベースダンプ内のマスター鍵が、/var/krb5/.k5.REALM 内に格納されているマスター鍵に一致することを確認してください。
Matching credential not found (一致する資格が見つかりません。)
Cause: 要求に一致する資格が見つかりませんでした。資格キャッシュで使用できない資格を要求しています。
解決策: kdestroy を使用してチケットを破棄し、kinit を使用して新しいチケットを作成します。
Message out of order (メッセージの順序が違います。)
Cause: 順次プライバシを使用しているときに送信されたメッセージが正しくない順序で到着しました。一部のメッセージが転送中に失われました。
解決策: Kerberos セッションを再初期化する必要があります。
Message stream modified (メッセージストリームが変更されました。)
Cause: 計算されたチェックサムとメッセージのチェックサムが一致しません。メッセージが転送中に変更された可能性があります。これは、セキュリティー漏洩を示す場合があります。
解決策: メッセージがネットワーク経由で正しく送信されていることを確認してください。このメッセージはまた、送信されている間にメッセージの改ざんが発生した可能性も示す場合があるため、チケットを破棄し、使用している Kerberos サービスを再初期化してください。
このセクションでは、Kerberos コマンド、Kerberos デーモン、PAM フレームワーク、GSS インタフェース、NFS サービス、および Kerberos ライブラリに共通するエラーメッセージを、英語版メッセージのアルファベット順 (N - Z) に示します。
No credentials cache file found (資格キャッシュファイルが見つかりません。)
Cause: Kerberos が資格キャッシュ (/tmp/krb5cc_uid) を見つけることができません。
解決策: 資格ファイルが存在し、読み込み可能であることを確認してください。そうでない場合は、kinit コマンドを再度実行してみてください。
No credentials were supplied, or the credentials were unavailable or inaccessible (資格が提供されていません。あるいは、資格を使用またはアクセスできません。)
No credentials cache found (資格キャッシュが見つかりません。)
Cause: ユーザーの資格キャッシュが間違っているか、または存在しません。
解決策: ユーザーは、サービスを開始しようとする前に kinit を実行する必要があります。
No credentials were supplied, or the credentials were unavailable or inaccessible (資格が提供されていません。あるいは、資格を使用またはアクセスできません。)
No principal in keytab (' filename') matches desired name principal (キータブ ('filename') 内の主体が目的の名前 principal と一致しません)
Cause: サーバーの認証を試みている間にエラーが発生しました。
解決策: ホスト主体またはサービス主体が、サーバーのキータブファイル内にあることを確認してください。
Operation requires “privilege ” privilege (操作には privilege 特権が必要です。)
Cause: 使用されていた admin 主体に、kadm5.acl ファイル内で適切な権限が割り当てられていません。
解決策: 適切な特権を持つ主体を使用してください。または、使用されていた主体を、適切な権限が割り当てられるように構成してください。通常は、名前の一部に /admin が含まれる主体には、適切な特権が割り当てられています。
PAM-KRB5 (auth): krb5_verify_init_creds failed: Key table entry not found (PAM-KRB5 (auth): krb5_verify_init_creds に失敗しました: 鍵テーブルエントリが見つかりません)
Cause: リモートアプリケーションは、ローカル /etc/krb5/krb5.keytab ファイル内にあるホストのサービス主体を読み込もうとしましたが、サービス主体が存在しませんでした。
解決策: ホストのキータブファイルにホストのサービス主体を追加してください。
Permission denied in replay cache code (再実行キャッシュコードでアクセス権がありません。)
Cause: システムの再実行キャッシュを開けませんでした。サーバーは、現在のユーザー ID と異なるユーザー ID で最初に実行された可能性があります。
解決策: 再実行キャッシュに適切なアクセス権が割り当てられていることを確認してください。再実行キャッシュは、Kerberos サーバーアプリケーションが動作するホストに格納されます。root 以外のユーザーの場合、再実行キャッシュファイルの名前は /var/krb5/rcache/rc_service_name_uid です。root ユーザーの場合、再実行キャッシュファイルの名前は /var/krb5/rcache/root/rc_service_name です。
Protocol version mismatch (プロトコルバージョンが一致していません。)
Cause: Kerberos V4 要求が KDC に送信された可能性があります。Kerberos サービスでは、Kerberos V5 プロトコルだけがサポートされます。
解決策: アプリケーションが Kerberos V5 プロトコルを使用していることを確認してください。
Request is a replay (要求は再送です。)
Cause: この要求は、すでにこのサーバーに送信され、処理が完了しています。チケットが盗まれた可能性があり、ほかのユーザーがチケットを再使用しようとしています。
解決策: しばらくしてから要求を再発行してください。
Requested principal and ticket don't match: Requested principal is 'service-principal' and TGT principal is 'TGT-principal' (要求された主体とチケットが一致しません: 要求された主体は 'service-principal' で、TGT 主体は 'TGT-principal' です。)
Cause: 接続するサービス主体と使用するサービスチケットが一致しません。
解決策: DNS が適切に機能することを確認してください。別のベンダーのソフトウェアを使用する場合は、そのソフトウェアが主体名を正しく使用していることを確認します。
Server refused to negotiate authentication, which is required for encryption. Good bye.
Cause: リモートアプリケーションは、クライアントからの Kerberos 認証を受け取ることができないか、またはそのように構成されていません。
解決策: 認証をネゴシエーションできるアプリケーションを提供するか、認証を有効にする適切なフラグを使用してアプリケーションを構成します。
Server rejected authentication (during sendauth exchange) (サーバーが認証を拒否しました (sendauth 交換で)。)
Cause: 通信しようとしているサーバーが認証を拒否しました。ほとんどの場合、このエラーは Kerberos データベースを伝播するときに発生します。kpropd.acl ファイル、DNS、またはキータブファイルに問題が発生している可能性があります。
解決策: kprop 以外のアプリケーションを実行しているときにこのエラーが発生した場合は、サーバーのキータブファルが正しいかどうかを調査してください。
Target name principal 'principal' does not match service-principal (ターゲット名の主体 'principal' が service-principal と一致しません。)
Cause: 使用されているサービス主体が、アプリケーションサーバーで使用しているサービス主体と一致しません。
解決策: アプリケーションサーバーで、サービス主体がキータブファイルに含まれていることを確認してください。クライアントでは、正しいサービス主体が使用されていることを確認してください。
The ticket isn't for us (チケットはわれわれのものではありません。)
Ticket/authenticator do not match. (チケット/オーセンティケータが一致しません。)
Cause: 要求内の主体名がサービス主体の名前と一致しなかった可能性があります。その原因は、サービスが非 FQDN 名を期待しているときにチケットが主体の FQDN 名とともに送信されたか、またはサービスが FQDN 名を期待しているときに非 FQDN 名が送信されたかのいずれかです。
解決策: kprop 以外のアプリケーションを実行しているときにこのエラーが発生した場合は、サーバーのキータブファルが正しいかどうかを調査してください。
Truncated input file detected (不完全な入力ファイルを検出しました。)
Cause: 操作に使用されたデータベースダンプファイルが完全ではありません。
解決策: ダンプファイルを作成し直すか、別のデータベースダンプファイルを使用します。