Kerberos 共通エラーメッセージ (A - M)
この節では、Kerberos コマンド、Kerberos デーモン、PAM フレームワーク、GSS インタフェース、NFS サービス、および Kerberos ライブラリに共通するエラーメッセージを、英語版メッセージのアルファベット順 (A - M) に示します。
-
資格が有効であることを確認してください。kdestroy を使用してチケットを破棄し、kinit を使用して新しいチケットを作成します。
-
対象ホストのキータブファイルに対して、正しいバージョンのサービス鍵が割り当てられていることを確認してください。kadmin を使用して、Kerberos データベースのサービス主体 (host/FQDN-hostname など) の鍵バージョン番号を表示します。対象ホスト上で klist -k を使用して、鍵バージョン番号がその番号であることを確認します。
-
SUNWcry および SUNWcryr パッケージを KDC サーバーに追加します。これにより、KDC がサポートする暗号化タイプの数が増えます。
-
aes256 暗号化タイプを含まないように、クライアント上の krb5.conf の permitted_enctypes を設定します。この手順は、新しいクライアントが追加されるごとに実行する必要があります。
All authentication systems disabled; connection refused (すべての認証システムが無効です。接続が拒否されました。)
原因:このバージョンの rlogind は認証メカニズムをサポートしていません。
対処方法:rlogind の起動時に -k オプションが指定されていることを確認してください。
Another authentication mechanism must be used to access this host (このホストにアクセスするには、別の認証メカニズムを使用する必要があります。)
原因:認証を実行できませんでした。
対処方法:クライアントが Kerberos V5 メカニズムを使って認証を行なっていることを確認してください。
Authentication negotiation has failed, which is required for encryption. Good bye. (暗号化に必要となる認証のネゴシエーションが失敗しました。処理を中断します。)
原因:認証で、サーバーとのネゴシエーションが失敗しました。
対処方法:telnet と toggle authdebug コマンドを実行して認証デバッグ機能を開始し、そのデバッグメッセージからさらなる手掛かりを得てください。また、所有している資格が有効であることも確認してください。
Bad krb5 admin server hostname while initializing kadmin interface (kadmin インタフェースを初期化中に、krb5 admin サーバーホスト名が無効です。)
原因:krb5.conf ファイルの admin_server に、無効なホスト名が設定されています。
対処方法:krb5.conf ファイルの admin_server 行に、マスター KDC の正しいホスト名を指定してください。
Bad lifetime value (有効期限値が無効です。)
原因:指定した有効期限値が無効または間違った形式です。
対処方法:指定した値が、kinit(1) のマニュアルページの時刻形式のセクションに適合していることを確認してください。
Bad start time value (開始時刻の値が無効です。)
原因:指定した開始時刻が無効または間違った形式です。
対処方法:指定した値が、kinit(1) のマニュアルページの時刻形式のセクションに適合していることを確認してください。
Cannot contact any KDC for requested realm (要求されたレルムの KDC に接続できません。)
原因:要求されたレルムの KDC が応答しません。
対処方法:1 つ以上の KDC (マスターまたはスレーブ) にアクセスできること、または krb5kdc デーモンが KDC 上で動作していることを確認してください。/etc/krb5/krb5.conf ファイルに指定されている構成済みの KDC (kdc = kdc_name) を確認してください。
Cannot determine realm for host (ホスト用のレルムを決定できません。)
原因:Kerberos がホストのレルム名を判断できません。
対処方法:デフォルトのレルム名を指定するか、Kerberos 構成ファイル (krb5.conf) にドメイン名のマッピングを設定してください。
Cannot find KDC for requested realm (要求されたレルムの KDC が見つかりません。)
原因:要求されたレルムに KDC が見つかりません。
対処方法:Kerberos 構成ファイル (krb5.conf) の realm セクションに KDC が指定されていることを確認してください。
cannot initialize realm realm-name (レルム realm-name を初期化できません。)
原因:KDC に stash ファイルが存在しない可能性があります。
対処方法:KDC に stash ファイルが存在することを確認してください。存在しない場合は、kdb5_util コマンドを使用して stash ファイルを作成し、再度 krb5kdc コマンドを実行します。
Cannot resolve KDC for requested realm (要求されたレルムの KDC を解決できません。)
原因:Kerberos がレルムの KDC を判断できません。
対処方法:Kerberos 構成ファイル (krb5.conf) の realm セクションに KDC が指定されていることを確認してください。
Cannot reuse password (パスワードは再利用できません。)
原因:指定したパスワードは、以前にこの主体によって使用されています。
対処方法:以前に使用されたことのないパスワードを選択してください。少なくとも KDC データベースに主体ごとに保持されている数のパスワードは、選択しないでください。このポリシーは、主体のポリシーによって適用されます。
Can't get forwarded credentials (転送された資格を取得できません。)
原因:資格の転送ができません。
対処方法:この主体に転送可能な資格を設定してください。
Can't open/find Kerberos configuration file (Kerberos 構成ファイルを開けません / 見つかりません。)
原因:Kerberos 構成ファイル (krb5.conf) を使用できません。
対処方法:krb5.conf ファイルが、正しい場所に配置されていることを確認してください。また、このファイルに正しいアクセス権が与えられていることを確認してください。このファイルに対する書き込み権は root、読み込み権はすべてのユーザーに与える必要があります。
Client did not supply required checksum--connection rejected (必要なチェックサム情報がクライアントから提供されませんでした。接続が拒否されました。)
原因:チェックサム付き認証で、クライアントとのネゴシエーションに失敗しました。クライアントが、初期接続をサポートしない旧 Kerberos V5 プロトコルを使用している可能性があります。
対処方法:クライアントが、初期接続をサポートする Kerberos V5 プロトコルを使用していることを確認してください。
Client/server realm mismatch in initial ticket request (初期チケット要求でクライアント/サーバーレルムが一致していません。)
原因:初期チケット要求で、クライアントとサーバーのレルムが一致していません。
対処方法:通信しているサーバーがクライアントと同じレルムに配置されていること、またはレルム構成が正しいことを確認してください。
Client or server has a null key (クライアントまたはサーバーの鍵が空です。)
原因:クライアントまたはサーバーの鍵が空です。
対処方法:kadmin の cpw コマンドを使用して、主体の鍵の値を入力してください。
Communication failure with server while initializing kadmin interface (kadmin インタフェースを初期化中に、サーバーとの通信の失敗です。)
原因:管理サーバーとして指定したホスト (マスター KDC) 上で、kadmind デーモンが動作していません。
対処方法:マスター KDC に正しいホスト名が指定されていることを確認してください。ホスト名が正しい場合は、指定したマスター KDC 上で kadmind が動作していることを確認してください。
Credentials cache file permissions incorrect (資格キャッシュファイルのアクセス権が正しくありません。)
原因:資格キャッシュ (/tmp/krb5cc_uid) に対する読み取り権または書き込み権が適切ではありません。
対処方法:資格キャッシュに対する読み取り権および書き込み権があることを確認してください。
Credentials cache I/O operation failed XXX (資格キャッシュ入出力操作が失敗しました。XXX)
原因:システムの資格キャッシュ (/tmp/krb5cc_uid) に書き込むときに、Kerberos で問題が発生しました。
対処方法:資格キャッシュが削除されていないことを確認し、df コマンドを使用してデバイスの空き領域を確認してください。
Decrypt integrity check failed (復号化で整合性チェックが失敗しました。)
原因:チケットが無効である可能性があります。
対処方法:次の条件をいずれも確認してください。
Encryption could not be enabled. Good bye. (暗号化を有効化できませんでした。処理を中止します。)
原因:暗号化で、サーバーとのネゴシエーションに失敗しました。
対処方法:telnet と toggle encdebug コマンドを実行して認証デバッグ機能を開始し、そのデバッグメッセージからさらなる手掛かりを得てください。
failed to obtain credentials cache (資格キャッシュを取得できませんでした。)
原因:kadmin の初期化中に、kadmin が admin 主体の資格を取得しようとしましたが、失敗しました。
対処方法:kadmin を実行したときに、正しい主体とパスワードを使用したことを確認してください。
Field is too long for this implementation (この実装ではフィールドが長すぎます。)
原因:Kerberos アプリケーションから送信されたメッセージのサイズが長すぎます。このエラーは、トランスポートプロトコルが UDP の場合に発生します。UDP では、デフォルトの最大メッセージ長は 65535 バイトです。また、Kerberos サービスから送信されるプロトコルメッセージの各フィールドにも制限があります。
対処方法:KDC サーバーの /etc/krb5/kdc.conf ファイルでトランスポートを UDP に制限していないことを確認してください。
GSS-API (or Kerberos) error (GSS-API (または Kerberos) エラー)
原因:このメッセージは、汎用 GSS-API または Kerberos のエラーメッセージで、いくつかの問題の組み合わせによって発生した可能性があります。
対処方法:/var/krb5/kdc.log ファイルを確認して、このエラーが発生したときに詳細なエラーメッセージが記録されているかどうかを確認してください。
Hostname cannot be canonicalized (ホスト名を展開できません。)
原因:Kerberos がホスト名を完全指定できません。
対処方法:このホスト名が DNS に定義されていることと、ホスト名とアドレス間の双方向のマッピングについて整合性を確認してください。
Illegal cross-realm ticket (レルム間のチケットが無効です。)
原因:送信されたチケットのレルム間関係が正しくありません。レルム間に正しい信頼関係が設定されていない可能性があります。
対処方法:使用しているレルム間の信頼関係が正しいことを確認してください。
Improper format of Kerberos configuration file (Kerberos 構成ファイルのフォーマットが不適切です。)
原因:Kerberos 構成ファイルに無効なエントリがあります。
対処方法:krb5.conf ファイル内のすべての関係式に、= 記号と値が使用されていることを確認してください。また、各下位セクションが角カッコで囲まれていることも確認してください。
Inappropriate type of checksum in message (メッセージのチェックサムのタイプが不適切です。)
原因:このメッセージに無効なチェックサムタイプが含まれています。
対処方法:krb5.conf および kdc.conf ファイルに指定されているチェックサムタイプが有効であることを確認してください。
Incorrect net address (ネットアドレスが間違っています。)
原因:ネットワークアドレスが一致しません。転送されたチケット内のネットワークアドレスが、チケットが処理されたときのネットワークアドレスと一致しません。このメッセージは、チケットの転送時に発生します。
対処方法:ネットワークアドレスが正しいことを確認してください。kdestroy を使用してチケットを破棄し、kinit を使用して新しいチケットを作成します。
Invalid credential was supplied (無効な資格が指定されました。)
Service key not available (サービス鍵が使用できません。)
原因:資格キャッシュ内のサービスチケットが間違っている可能性があります。
対処方法:現在の資格キャッシュを破棄して、このサービスを使用する前に kinit を再実行してください。
Invalid flag for file lock mode (ファイルロックモードのフラグが無効です。)
原因:Kerberos の内部エラーが発生しました。
対処方法:バグを報告してください。
Invalid message type specified for encoding (符号化に対し無効なメッセージタイプが指定されました。)
原因:Kerberos アプリケーションから送信されたメッセージ形式を、Kerberos が認識できません。
対処方法:使用するサイトまたはベンダーで開発した Kerberos アプリケーションを使用している場合は、Kerberos が正しく使用されていることを確認してください。
Invalid number of character classes (文字クラス数が正しくありません。)
原因:主体に指定したパスワードに、主体のポリシーによって適用された数のパスワードクラスが含まれていません。
対処方法:ポリシーに指定されている最小パスワードクラス数を使用して、パスワードを指定してください。
KADM err: Memory allocation failure (KADM エラー: メモリー割り当ての失敗です。)
原因:kadmin の実行に必要なメモリーが不足しています。
対処方法:メモリーを解放してから、kadmin を再実行してください。
kadmin: Bad encryption type while changing host/<FQDN>'s key (host/<FQDN> のキーの変更中に不正な暗号化タイプが見つかりました。)
原因:Solaris 10 8/07 リリースの基本リリースには、デフォルトの暗号化タイプがいくつか追加されました。以前のバージョンの Solaris ソフトウェアを実行している KDC がサポートしない暗号化タイプをクライアントが要求する場合があります。
対処方法:この問題を解決するための対処方法がいくつか用意されています。もっとも簡単に実行できる方法を次に示します。
KDC can't fulfill requested option (KDC は要求したオプションを処理できません。)
原因:要求されたオプションを KDC が許可しませんでした。遅延または転送可能オプションが要求されましたが、KDC が許可しませんでした。または、TGT の更新が要求されましたが、更新可能な TGT が存在しない可能性があります。
対処方法:KDC が許可しないオプションまたは使用できない種類のチケットを要求していないかどうかを確認してください。
KDC policy rejects request (KDC ポリシーは要求を拒否します。)
原因:KDC ポリシーが要求を許可しませんでした。たとえば、KDC に対する要求に IP アドレスが含まれていないことがあります。あるいは、要求は転送されたが、KDC が許可しなかった可能性があります。
対処方法:正しいオプションを指定して kinit を実行していることを確認してください。必要に応じて、主体に関連付けられたポリシーを変更するか、要求が許可されるように主体の属性を変更します。ポリシーまたは主体を変更するには、kadmin を使用します。
KDC reply did not match expectations (KDC 応答は予期したものと一致しませんでした。)
原因:KDC の応答に予期した主体名が含まれていないか、応答内のその他の値が正しくありません。
対処方法:通信先の KDC が RFC 1510 に準拠していること、送信している要求が Kerberos V5 要求であること、または KDC が有効であることを確認してください。
kdestroy:Could not obtain principal name from cache (キャッシュから主体名を取得できません。)
原因:資格キャッシュが欠落しているか、または破壊されています。
対処方法:指定したキャッシュ位置が正しいことを確認してください。必要に応じて、kinit を使用して削除し、新しい TGT を取得してください。
kdestroy:Could not obtain principal name from cache (キャッシュの破棄中に資格キャッシュが見つかりませんでした。)
原因:資格キャッシュ (/tmp/krb5c_uid) が欠落しているか、または破壊されています。
対処方法:指定したキャッシュ位置が正しいことを確認してください。必要に応じて、kinit を使用して削除し、新しい TGT を取得してください。
kdestroy:Could not obtain principal name from cache (TGT 期限切れの警告が削除されません。)
原因:資格キャッシュが欠落しているか、または破壊されています。
対処方法:指定したキャッシュ位置が正しいことを確認してください。必要に応じて、kinit を使用して削除し、新しい TGT を取得してください。
Kerberos authentication failed (Kerberos 認証に失敗しました。)
原因:Kerberos パスワードが正しくないか、または UNIX パスワードと一致していません。
対処方法:パスワードが一致していない場合は、Kerberos 認証に成功する別のパスワードを指定する必要があります。ユーザーが元のパスワードを忘れた可能性があります。
Kerberos V5 refuses authentication (Kerberos V5 によって認証が拒否されました。)
原因:認証で、サーバーとのネゴシエーションが失敗しました。
対処方法:telnet と toggle authdebug コマンドを実行して認証デバッグ機能を開始し、そのデバッグメッセージからさらなる手掛かりを得てください。また、所有している資格が有効であることも確認してください。
Key table entry not found (鍵テーブルエントリが見つかりません。)
原因:ネットワークアプリケーションサーバーのキータブファイルに、サービス主体のエントリがありません。
対処方法:サーバーのキータブファイルに適切なサービス主体を追加して、Kerberos サービスを提供できるようにしてください。
Key version number for principal in key table is incorrect (鍵テーブルの主体の鍵バージョン番号が正しくありません。)
原因:キータブファイルと Kerberos データベース内の主体の鍵バージョンが異なります。サービスの鍵が変更されたか、旧サービスチケットを使用している可能性があります。
対処方法:kadmin などによってサービスの鍵が変更されている場合は、新しい鍵を抽出して、サービスが動作しているホストのキータブファイルに格納する必要があります。
または、旧サービスチケットを使用しているため、鍵が古い可能性があります。kdestroy コマンドを実行し、次に kinit コマンドを再度実行してください。
kinit: gethostname failed (gethostname が失敗しました。)
原因:ローカルネットワーク構成でのエラーは、kinit が失敗する原因になります。
対処方法:ホストが正しく構成されていることを確認してください。
login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1 (load_modules: /usr/lib/security/pam_krb5.so.1 モジュールを開けません。)
原因:Kerberos PAM モジュールが存在しないか、有効な実行可能バイナリではありません。
対処方法:Kerberos PAM モジュールが /usr/lib/security ディレクトリに存在し、有効な実行可能バイナリであることを確認してください。また、/etc/pam.conf ファイルに pam_krb5.so.1 への正しいパスが指定されていることも確認してください。
Looping detected inside krb5_get_in_tkt (krb5_get_in_tkt 内部でループが検出されました。)
原因:Kerberos が初期チケットを複数回取得しようとしましたが、失敗しました。
対処方法:認証要求に対して 1 つ以上の KDC が応答していることを確認してください。
Master key does not match database (マスター鍵がデータベースと一致しません。)
原因:読み込まれたデータベースのダンプが、マスター鍵を含むデータベースから作成されませんでした。マスター鍵は /var/krb5/.k5.REALM 内に格納されています。
対処方法:読み込まれたデータベースダンプ内のマスター鍵が、/var/krb5/.k5.REALM に配置されているマスター鍵と一致していることを確認してください。
Matching credential not found (一致する資格が見つかりません。)
原因:要求に一致する資格が見つかりませんでした。資格キャッシュで使用できない資格を要求しています。
対処方法:kdestroy を使用してチケットを破棄し、kinit を使用して新しいチケットを作成します。
Message out of order (メッセージの順序が違います。)
原因:順次送信されたメッセージが順不同で着信しました。一部のメッセージが転送中に失われました。
対処方法:Kerberos セッションを再度初期化してください。
Message stream modified (メッセージストリームが変更されました。)
原因:計算されたチェックサムとメッセージのチェックサムが一致しませんでした。転送中のメッセージが変更された可能性があります。セキュリティー侵害が発生している可能性があります。
対処方法:メッセージがネットワーク経由で正しく送信されていることを確認してください。このメッセージが送信中に改変された可能性もあるため、 kdestroy を使用してチケットを破棄し、使用している Kerberos サービスを再度初期化してください。
- © 2010, Oracle Corporation and/or its affiliates