Sun Enterprise Authentication Mechanism 1.0.1 ガイド

SEAM における問題の解決

この節では、SEAM ソフトウェアで発生する問題の解決方法を示します。

krb5.conf ファイルのフォーマットに関する問題

krb5.conf ファイルが適切にフォーマットされていない場合、telnet コマンドは失敗します。しかし、krb5.conf ファイルをコマンドに対し正しく指定した場合、dtloginlogin コマンドは成功します。この問題が発生した場合、次のエラーメッセージが表示されます。


krb5 初期化中にエラー: Kerberos 構成ファイルのフォーマットが不適切です。
(Error initializing krb5: Improper format of Kerberos configuration)

krb5.conf ファイルのフォーマットに問題がある場合、セキュリティが侵害される可能性が高くなります。この問題は SEAM 機能を使用する前に解決しておかなければなりません。

Kerberos データベースの伝達に関する問題

Kerberos データベースの伝達に失敗した場合、スレーブ KDC とマスター KDC 間で (あるいは、その逆で)、/usr/krb5/bin/rlogin -x を実行してください。


注 -

アクセスを制限するように KDC を設定している場合、rlogin は無効となるため、この問題を解決する目的には使用できません。KDC への rlogin を有効にするには、/etc/inetd.conf ファイルにある eklogin エントリのコメントを解除して、次のように inetd を再起動します。


# ps -eaf | grep inetd       inetd のプロセス ID が表示される。
# kill -1 pid_of_inetd

問題が解決した後は、inetd.conf ファイルを元の状態に変更して、もう一度 inetd を再起動する必要があります。


rlogin が動作しない場合、KDC の keytab に問題がある可能性があります。rlogin が動作する場合、rlogin と伝達ソフトウェアは同じ host/host_name プリンシパルを使用するため、keytab またはネームサービスに問題はありません。この場合、kpropd.acl ファイルが正しいことを確認します。

Kerberos 化された NFS ファイルシステムのマウントに関する問題

この例では、異なるインタフェースへの 1 つの参照を許可して、サーバーの keytab にある 3 つのサービスプリンシパルではなく、1 つのサービスプリンシパルを許可するように設定しています。

root の認証に関する問題

すでに root プリンシパルをホストの keytab に追加しているのにもかかわらず、ユーザーのシステム上でスーパーユーザーになろうとしたときに認証が失敗した場合、考えられる問題は 2 つあります。まず、keytab 内の root プリンシパルがそのインスタンスとして完全指定名を持っていることを確認します。その場合、/etc/resolv.conf ファイルを調べて、システムが DNS クライアントとして正しく設定されていることを確認します。