Dépannage de SEAM

Cette section présente des renseignements de dépannage concernant le logiciel SEAM.

Problèmes relatifs au format du fichier krb5.conf

Si le fichier krb5.conf n'est pas formaté correctement, la commande telnet échouera. Cependant, les commandes dtlogin et login réussiront toujours, même si le fichier krb5.conf est spécifié comme requis pour les commandes. En pareil cas, le message d'erreur suivant apparaît :

Erreur d'initialisation de krb5 : Format du fichier de configuration Kerberos 
incorrect

S'il existe un problème relatif au format du fichier krb5.conf, cela vous rend vulnérable aux violations de sécurité. Vous devriez résoudre ce problème avant d'employer les fonctions de SEAM.

Problèmes de propagation de la base de données Kerberos

Si la propagation de la base de données Kerberos échoue, tentez d'insérer /usr/krb5/bin/rlogin -x entre le KDC esclave et le KDC maître, et vice-versa.

Si les KDC ont été configurés de manière à limiter l'accès, rlogin est désactivé et ne peut être utilisé pour le dépannage de ce problème. Pour activer rlogin sur un KDC, vous devez supprimer la marque de commentaire de l'entrée eklogin dans le fichier /etc/inetd.conf et redémarrer inetd, comme ceci :

# ps -eaf | grep inetd       affiche l'identificateur de processus de inetd
# kill -1 pid_of_inetd

Après le dépannage du problème, vous devez remettre le fichier inetd.conf dans son état initial et redémarrer inetd .

Si rlogin ne fonctionne pas, le problème se situe probablement au niveau des tables de clés des KDC. Si rlogin fonctionne, le problème ne se situe pas au niveau de la table de clés ou du service de nom, car rlogin et le logiciel de propagation utilisent le même principal host/nom_de_l'hôte. Dans ce cas, vérifiez que le fichier kpropd.acl est valide.

Problèmes de montage d'un système de fichiers NFS compatible Kerberos

• Si le montage d'un système de fichiers NFS compatible Kerberos échoue, assurez-vous que le fichier /var/tmp/rc_nfs existe sur le serveur NFS. S'il n'appartient pas à «root», supprimez-le et tentez le montage à nouveau.

• Si vous rencontrez un problème d'accès à un système de fichiers NFS compatible Kerberos, assurez-vous qu'il existe une entrée pour gssd dans le fichier inetd.conf sur votre système et sur le serveur NFS.

• Si le message d'erreur argument incorrect ou mauvais répertoire apparaît pendant que vous tentez d'accéder à un système de fichiers compatible Kerberos, il est possible que vous n'utilisiez pas un nom DNS entièrement qualifié lorsque vous tentez de monter le système de fichiers NFS. L'hôte en cours de montage n'est pas identique à la partie du nom d'hôte du principal du service dans la table de clés du serveur.

  Cela peut également se produire si votre serveur possède plusieurs interfaces ethernet et que vous avez configuré DNS de manière à utiliser un plan "nom par interface" plutôt qu'un plan "enregistrements d'adresses multiples par hôte". Pour SEAM, vous devriez configurer des enregistrements d'adresses multiples par hôte comme ceci : [Gilles Tremblay, "FAQ Kerberos," [http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html], accès le 11 décembre 1998.]

  mon.nom.d'hôte.   A       1.2.3.4
                    A       1.2.4.4
                    A       1.2.5.4
  
  mon.nom.d'hôte-en0.       A       1.2.3.4
  mon.nom.d'hôte-en1.       A       1.2.4.4
  mon.nom.d'hôte-en2.       A       1.2.5.4
  
  4.3.2.1           PTR     mon.nom.d'hôte.
  4.4.2.1           PTR     mon.nom.d'hôte.
  4.5.2.1           PTR     mon.nom.d'hôte.

Dans cet exemple, la configuration permet une référence aux diverses interfaces et permet un seul principal de service plutôt que trois dans la table de clés du serveur.

Problèmes d'authentification en tant que superutilisateur

Si l'authentification échoue lorsque vous tentez d'adopter l'identité de superutilisateur sur votre système et que vous avez déjà ajouté le principal «root» à la table de clés de votre hôte, il peut exister deux problèmes potentiels. Premièrement, assurez-vous que le principal «root» dans la table de clés a un nom entièrement qualifié comme instance. Si c'est le cas, vérifiez le fichier /etc/resolv.conf pour vous assurer que le système est correctement configuré en tant que client DNS.