一般的な SEAM エラーメッセージ (N-Z)
この節では、SEAM コマンド、SEAM デーモン、PAM フレームワーク、および Kerberos ライブラリに関しての、より一般的なエラーメッセージをアルファベット順 (N-Z) に示します。
- エラーメッセージ
-
認証システムが有効になっていません;すべての接続が拒否されます。 (No authentication systems were enabled; all connections will be refused)
- 原因
-
このバージョンの rlogind は認証機構をサポートしていません。
- 解決方法
-
rlogind を呼び出すときに -k オプションを指定していることを確認します。このオプションはデフォルトで inetd.conf ファイルに指定されていなければなりません。
- エラーメッセージ
-
資格キャッシュファイルが見つかりません。 (No credentials cache file found)
- 原因
-
Kerberos は資格キャッシュ (/tmp/krb5cc_uid) を見つけることができませんでした。
- 解決方法
-
資格ファイルが存在しており、読み取り可能であることを確認します。そうでない場合、もう一度 kinit を実行します。
- エラーメッセージ
-
操作には "privilege" 特権が必要です。 (Operation requires "privilege" privilege)
- 原因
-
使用している admin プリンシパルが kadm5.acl ファイルで適切な特権が設定されていません。
- 解決方法
-
適切な特権を持っているプリンシパルを使用するか、使用しているプリンシパルが適切な特権を持つように kadm5.acl ファイルを変更します。通常、名前の一部に /admin があるプリンシパルは適切な特権を持っています。
- エラーメッセージ
-
PAM-KRB5: Kerberos V5 認証に失敗しました: パスワードが正しくありません。 (PAM-KRB5: Kerberos V5 authentication failed: password incorrect)
- 原因
-
UNIX パスワードと Kerberos パスワードが異なっています。ほとんどの Kerberos 化されていないコマンド (login など) は、自動的に UNIX パスワードと同じパスワードを使用して Kerberos で認証するように PAM を通じて設定されています。パスワードが異なっている場合、Kerberos 認証は失敗します。
- 解決方法
-
プロンプトが出たら、Kerberos パスワードを入力してください。
- エラーメッセージ
-
パスワードはパスワード辞書にあります。 (Password is in the password dictionary)
- 原因
-
入力したパスワードは、使用しているパスワード辞書に存在しています。パスワードとしては適切ではありません。
- 解決方法
-
パスワードクラスを混合したパスワードを選択します。
- エラーメッセージ
-
リプレイキャッシュコードでアクセス権がありません。 (Permission denied in replay cache code)
- 原因
-
システムの再実行キャッシュを開くことができませんでした。最初に、現在のユーザー ID とは異なるユーザー ID でサーバーが実行された可能性があります。
- 解決方法
-
再実行キャッシュが適切なアクセス権を持っていることを確認します。再実行キャッシュは、Kerberos 化されたサーバーアプリケーションが動作しているホスト (/usr/tmp/rc_service_name) に格納されています。現在の再実行キャッシュのアクセス権を変更する代わりに、再実行キャッシュを削除してから、異なるユーザー ID で Kerberos 化されたサーバーを実行することもできます。
- エラーメッセージ
-
プロトコルバージョンが一致していません。 (Protocol version mismatch)
- 原因
-
Kerberos V4 の要求が KDC に送信された可能性があります。SEAM は Kerberos V5 プロトコルだけをサポートします。
- 解決方法
-
ユーザーのアプリケーションが Kerberos V5 プロトコルを使用していることを確認します。
- エラーメッセージ
-
要求は再送です。 (Request is a replay)
- 原因
-
すでに要求はこのサーバーに送信され処理されています。チケットが横取りされた可能性があり、誰かがそのチケットを再度使用しようとしています。
- 解決方法
-
数分間待ってから、要求を再発行します。
- エラーメッセージ
-
要求したプリンシパルとチケットは一致しません。 (Requested principal and ticket don't match)
- 原因
-
接続しているサービスプリンシパルと所有しているサービスチケットが一致しません。
- 解決方法
-
DNS が適切に機能していることを確認します。別のベンダーのソフトウェアを使用している場合、そのソフトウェアがプリンシパル名を正しく使用していることを確認します。
- エラーメッセージ
-
要求したプロトコルバージョンはサポートされていません。 (Requested protocol version not supported)
- 原因
-
Kerberos V4 の要求が KDC に送信された可能性があります。SEAM は Kerberos V5 プロトコルだけをサポートします。
- 解決方法
-
ユーザーのアプリケーションが Kerberos V5 プロトコルを使用していることを確認します。
- エラーメッセージ
-
kadmin インタフェースを初期化中に、必須のパラメータが krb5.conf にありません。 (Required parameters in krb5.conf missing while initializing kadmin interface)
- 原因
-
krb5.conf ファイルで一部のパラメータ (admin_server パラメータなど) が見つかりません。
- 解決方法
-
見つからないパラメータを確認し、krb5.conf に追加します。
- エラーメッセージ
-
サーバーが暗号化のネゴシエーションを拒否しました。終了します。 (Server refused to negotiate encryption. Good bye.)
- 原因
-
暗号化について、サーバーとネゴシエーションできませんでした。
- 解決方法
-
telnet コマンドの toggle encdebug を呼び出して認証デバッグを開始し、手がかりとなるようなデバッグメッセージを探します。
- エラーメッセージ
-
サーバーが認証を拒否しました (sendauth 交換で)。 (Server rejected authentication (during sendauth exchange))
- 原因
-
通信しようとしているサーバーが認証を拒否しました。ほとんどの場合、このエラーは Kerberos データベースの伝達中に発生します。考えられる原因は、kpropd.acl ファイル、DNS、または keytab の問題である可能性があります。
- 解決方法
-
このエラーが kprop 以外のアプリケーションの実行中に発生した場合、サーバーの keytab が正しいかどうかを調べます。
- エラーメッセージ
-
チケットはわれわれのものではありません。 または チケット/オーセンティケータが一致しません。 (The ticket isn't for us OR Ticket/authenticator don't match)
- 原因
-
チケットとオーセンティケータ間で不一致がありました。サービスが非 FQDN を期待しているのに対し、チケットがプリンシパルの FQDN 名で送信されたために (あるいは、その逆のために)、要求中のプリンシパル名がサービスプリンシパル名と一致していない可能性があります。
- 解決方法
-
使用しているサービスプリンシパルが正しいことを確認します。
- エラーメッセージ
-
チケットの有効期限が切れました。 (Ticket expired)
- 原因
-
チケットの有効期限が切れています。
- 解決方法
-
kdestroy でチケットを削除して、kinit で新しいチケットを作成します。
- エラーメッセージ
-
チケットには遅延処理の資格がありません。 (Ticket is ineligible for postdating)
- 原因
-
プリンシパルはチケットが遅延することを許可しません。
- 解決方法
-
kadmin(1M) でプリンシパルが遅延を許可するように変更します。
- エラーメッセージ
-
チケットはまだ有効ではありません。 (Ticket not yet valid)
- 原因
-
遅延チケットがまだ有効ではありません。
- 解決方法
-
日付を変更して新しいチケットを作成するか、現在のチケットが有効になるまで待ちます。
- エラーメッセージ
-
不完全な入力ファイルを検出しました。 (Truncated input file detected)
- 原因
-
処理に使用されているデータベースダンプファイルが、完全なダンプファイルではありません。
- 解決方法
-
もう一度ダンプファイルを作成するか、異なるデータベースダンプファイルを使用します。
- エラーメッセージ
-
Kerberos V5 を使って接続し、暗号化サービスを提供できません。 または Kerberos V5 で接続できません。通常の rlogin を使用します。 (Unable to connect with Kerberos V5 and provide encryption service OR Unable to connect with Kerberos V5, using normal rlogin)
- 原因
-
サーバー上において、Kerberos 化されたセッションを適切なサービス (rsh と rcp の場合は kshell、rlogin の場合は eklogin または klogin) で確立できませんでした。資格が無効である可能性があります。
- 解決方法
-
-
資格が有効であることを確認します。kdestroy でチケットを削除して、kinit で新しいチケットを作成します。
-
ターゲットのホストの keytab が正しいバージョンのサービス鍵を持っていることを確認します。まず、kadmin(1M) を使用して、Kerberos データベースにあるサービスプリンシパル (たとえば、host/FQDN_hostname) の鍵バージョン番号を表示します。そして、ターゲットのホスト上で klist -k を実行して、同じ鍵バージョン番号を持っていることを確認します。
-
ターゲットのホスト上にある /etc/inetd.conf に、サービス (klogin、eklogin、および kshell) のエントリが存在していることを確認します。
-
- エラーメッセージ
-
ユーザーを安全に認証できません... 終了します。 (Unable to securely authenticate user ... exit)
- 原因
-
認証について、サーバーとネゴシエーションできませんでした。
- 解決方法
-
telnet コマンドの toggle authdebug を呼び出して認証デバッグを開始し、手がかりとなるようなデバッグメッセージを探します。また、資格が有効であることも確認します。
- エラーメッセージ
-
要求したプリンシパルは正しくありません。 (Wrong principal in request)
- 原因
-
チケットに無効なプリンシパル名があります。DNS または FQDN の問題である可能性があります。
- 解決方法
-
サービスのプリンシパルがチケット内のプリンシパルと一致していることを確認します。
- エラーメッセージ
-
チェックサムサポートのない古い Kerberos5 クライアントが使用されています。 それより新しいクライアントしか許可されません。 (You are using an old Kerberos5 client without checksum support; only newer clients are authorized.)
- 原因
-
チェックサム付きの認証について、クライアントとネゴシエーションできませんでした。クライアントが初期接続をサポートしていない古い Kerberos V5 プロトコルを使用している可能性があります。
- 解決方法
-
クライアントが初期接続をサポートしている Kerberos V5 プロトコルを使用していることを確認します。
- © 2010, Oracle Corporation and/or its affiliates