Guide du mécanisme d'authentification pour l'entreprise de Sun

Messages d'erreur communs de SEAM (A-M)

Cette section présente une liste alphabétique (A-M) des messages d'erreur les plus courants relatifs aux commandes de SEAM, aux démons de SEAM, au module d'authentification enfichable, à l'interface GSS et à la bibliothèque Kerberos.

Message d'erreur

Adresse réseau incorrecte

Cause du message

Il y a une discordance dans l'adresse réseau. L'adresse réseau figurant sur le ticket transféré différait de l'adresse réseau où le ticket fut traité. Cela peut se produire au cours du transfert de tickets.

Solution

Assurez-vous que les adresses réseau sont exactes. Détruisez vos tickets avec kdestroy et créez-en de nouveaux avec kinit.

Message d'erreur

Aucun système d'authentification n'a été activé ; toutes les connexions seront refusées

Cause du message

Cette version de rlogind ne prend en charge aucun mécanisme d'authentification.

Solution

Assurez-vous que rlogind est lancé avec l'option -k. D'ailleurs, cela devrait être spécifié par défaut dans le fichier inetd.conf.

Message d'erreur

Autorisation refusée dans le code de cache de réexécution

Cause du message

Le cache de réexécution du système n'a pas pu être ouvert. Il est possible que le serveur ait d'abord été exécuté avec un ID d'utilisateur différent de votre ID d'utilisateur courant.

Solution

Assurez-vous que le cache de réexécution possède les permissions appropriées. Le cache de réexécution réside sur l'hôte où l'application serveur compatible Kerberos est en cours d'exécution (/usr/tmp/rc_nom_du_service). Au lieu de changer les permissions sur le cache de réexécution courant, vous pouvez supprimer le cache avant d'exécuter le serveur compatible Kerberos au moyen d'un autre ID d'utilisateur.

Message d'erreur

Bouclage détecté dans krb5_get_in_tkt

Cause du message

Kerberos a effectué plusieurs tentatives d'obtention des tickets initiaux mais a échoué.

Solution

Assurez-vous qu'au moins un KDC répond aux requêtes d'authentification.

Message d'erreur

Défaillance de la communication avec le serveur au cours de l'initialisation de l'interface 
kadmin

Cause du message

kadmind n'était pas en cours d'exécution sur l'hôte spécifié pour le serveur admin (KDC maître).

Solution

Assurez-vous d'avoir spécifié le nom d'hôte exact pour le KDC maître. Si vous avez indiqué le nom d'hôte exact, vérifiez que kadmind est en cours d'exécution sur le KDC maître spécifié.

Message d'erreur

df: impossible d'exécuter statvfs système de fichiers: argument incorrect

Cause du message

La commande df ne peut pas accéder au système de fichiers NFS compatible Kerberos - qui est actuellement monté - afin de générer son rapport, parce que vous ne détenez plus les justificatifs d'identité de superutilisateur appropriés. La destruction de vos justificatifs d'identité pour un système de fichiers compatible Kerberos monté ne démonte pas automatiquement le système de fichiers.

Solution

Vous devez créer de nouveaux justificatifs d'identité de superutilisateur pour accéder au système de fichiers compatible Kerberos. Si vous n'avez plus besoin d'accéder au système de fichiers compatible Kerberos, démontez le système de fichiers.

Message d'erreur

Discordance dans la version du protocole

Cause du message

Il est probable qu'une requête Kerberos V4 ait été envoyée au KDC. SEAM ne prend en charge que le protocole Kerberos V5.

Solution

Assurez-vous que vos applications utilisent le protocole Kerberos V5.

Message d'erreur

Discordance du secteur client/serveur dans la demande de ticket initiale

Cause du message

Une discordance de secteur entre le client et le serveur s'est produite dans la demande de ticket initiale.

Solution

Assurez-vous que le serveur avec lequel vous communiquez réside dans le même secteur que le client, ou que les configurations de secteur sont exactes.

Message d'erreur

Droits d'accès au fichier de cache des justificatifs d'identité incorrects

Cause du message

Vous ne détenez pas les permissions de lecture ou d'écriture appropriées pour le cache des justificatifs d'identité ( /tmp/krb5cc_uid).

Solution

Assurez-vous de posséder des permissions de lecture et d'écriture pour le cache des justificatifs d'identité.

Message d'erreur

Echec de la négociation de l'authentification, requise pour le chiffrement. Au revoir.

Cause du message

L'authentification n'a pas pu être négociée avec le serveur.

Solution

Lancez le dépannage d'authentification au moyen de la commande telnet toggle authdebug et lisez les messages de dépannage pour de plus amples renseignements. Assurez-vous également que vos justificatifs d'identité sont valides.

Message d'erreur

Echec de la négociation du chiffrement. Au revoir.

Cause du message

Le chiffrement n'a pas pu être négocié.

Solution

Consultez les messages d'erreur pouvant se trouver dans le fichier de consignation du KDC.

Message d'erreur

Échec de la vérification de l'intégrité du déchiffrement

Cause du message

Il se peut que vous ayez un ticket incorrect.

Solution

Assurez-vous que vos justificatifs d'identité sont valides. Détruisez vos tickets avec kdestroy et créez-en de nouveaux avec kinit.
Assurez-vous que l'hôte cible possède une table de clés ayant la bonne version de la clé de service. Utilisez kadmin(1M) pour consulter le numéro de version de la clé du principal du service (par exemple, host/nom_d'hôte_FQDN) dans la base de données Kerberos, et utilisez klist -k sur l'hôte cible afin de vérifier qu'il a le même numéro de version de clé.

Message d'erreur

Échec de l'opération d'E/S du cache des justificatifs d'identité XXX

Cause du message

Kerberos n'a pas pu écrire dans le cache des justificatifs d'identité du système (/tmp/krb5cc_uid).

Solution

Assurez-vous que le cache des justificatifs d'identité n'a pas été supprimé et qu'il reste de l'espace sur le périphérique au moyen de la commande df.

Message d'erreur

échec d'obtention du cache des justificatifs d'identité

Cause du message

Durant l'initialisation de kadmin , une panne est survenue lorsque kadmin a tenté d'obtenir des justificatifs d'identité pour le principal admin.

Solution

Assurez-vous d'avoir utilisé le principal et/ou le mot de passe appropriés lors de l'exécution de kadmin.

Message d'erreur

Entrée de table de clés introuvable

Cause du message

Il n'y a pas d'entrée pour le principal du service dans la table de clés du serveur d'applications sur le réseau.

Solution

Ajoutez le principal de service approprié à la table de clés du serveur afin qu'il puisse offrir le service Kerberos.

Message d'erreur

Err. KADM: Echec d'attribution de la mémoire

Cause du message

Il n'y a pas assez de mémoire pour exécuter kadmin.

Solution

Libérez de la mémoire et tentez d'exécuter à nouveau kadmin.

Message d'erreur

Erreur de configuration: L'exigence des sommes de contrôle avec -c est incompatible
avec les connexions Kerberos version 4 permises.

Cause du message

L'authentification avec somme de contrôle n'a pas été négociée avec le client. Il est possible que le client utilise un vieux protocole Kerberos V5 ne prenant pas en charge la connexion initiale.

Solution

Assurez-vous que le client utilise un protocole Kerberos V5 prenant en charge la connexion initiale.

Message d'erreur

erreur_grave erreur_bénigne gssapi erreur d'importation de nom

Cause du message

Une erreur est survenue lors de l'importation d'un nom de service.

Solution

Assurez-vous que le principal du service host ou ftp réside dans le fichier de table de clés de l'hôte.

Message d'erreur

Erreur GSS-API (ou Kerberos)

Cause du message

Il s'agit d'un message d'erreur générique GSS-API ou Kerberos pouvant être causé par divers problèmes.

Solution

Consultez le fichier /etc/krb5/kdc.log afin de repérer le message d'erreur GSS-API particulier qui a été généré lorsque cette erreur est survenue.

Message d'erreur

Fichier de cache des justificatifs d'identité introuvable

Cause du message

Kerberos n'a pas trouvé le cache des justificatifs d'identité (/tmp/krb5cc_uid).

Solution

Assurez-vous que le fichier des justificatifs d'identité existe et qu'il est lisible. Sinon, tentez d'exécuter kinit à nouveau.

Message d'erreur

Fichier d'entrée tronqué détecté

Cause du message

Le fichier de vidage de la base de données utilisé dans l'opération n'est pas complet.

Solution

Créez le fichier de vidage à nouveau ou utilisez un fichier de vidage de base de données différent.

Message d'erreur

Fin du cache des justificatifs d'identité atteinte

Cause du message

Une erreur est survenue au cours de la lecture du cache des justificatifs d'identité (/tmp/krb5cc_uid).

Solution

Assurez-vous que le cache des justificatifs d'identité est lisible et qu'il contient des données.

Message d'erreur

Flux de message modifié

Cause du message

La somme de contrôle calculée diffère de celle du message. Il est possible que le message ait été modifié au cours de sa transmission, ce qui peut indiquer un problème de sécurité.

Solution

Assurez-vous que les messages sont envoyés correctement sur le réseau. Comme ce message d'erreur peut être causé par une altération des messages lors de leur transmission, détruisez vos tickets avec kdestroy, puis réinitialisez les services Kerberos que vous utilisez.

Message d'erreur

Format du fichier de configuration Kerberos incorrect

Cause du message

Le fichier de configuration Kerberos (krb5.conf) contient des entrées incorrectes.

Solution

Assurez-vous que toutes les relations dans le fichier krb5.conf sont suivies du symbole «=» et d'une valeur, et vérifiez que les crochets sont appariés dans chaque sous-section.

Message d'erreur

Il faut utiliser un mécanisme d'authentification différent pour accéder à cet hôte

Cause du message

L'authentification n'a pas pu être effectuée.

Solution

Assurez-vous que le client utilise Kerberos V5 pour l'authentification.

Message d'erreur

Impossible d'authentifier l'utilisateur de façon sûre ... sortie

Cause du message

L'authentification n'a pas pu être négociée avec le serveur.

Solution

Message d'erreur

Impossible de communiquer avec un KDC pour le secteur demandé

Cause du message

Aucun KDC n'a répondu dans le secteur demandé.

Solution

Assurez-vous qu'au moins un KDC (le maître ou l'esclave) peut être rejoint, ou que le démon krb5kdc est en cours d'exécution sur les KDC. Consultez le fichier /etc/krb5/krb5.conf pour visualiser la liste des KDC configurés (kdc = nom_du_KDC).

Message d'erreur

Impossible d'écrire le réseau en chiffrement

Cause du message

Un problème est survenu lors du chiffrement des données.

Solution

Voyez s'il existe d'autres problèmes dans le système. Examinez les autres messages syslog pour plus de détails.

Message d'erreur

Impossible de déterminer le secteur pour l'hôte

Cause du message

Kerberos ne peut pas déterminer le nom du secteur pour l'hôte.

Solution

Assurez-vous qu'il y a un nom de secteur par défaut ou que les mappages de nom de domaine sont configurés dans le fichier de configuration de Kerberos ( krb5.conf).

Message d'erreur

Impossible de normaliser le nom d'hôte

Cause du message

Kerberos ne peut pas qualifier entièrement le nom de l'hôte.

Solution

Assurez-vous que le nom de l'hôte est de type DNS et que les mappages nom d'hôte-adresse et adresse-nom d'hôte sont cohérents.

Message d'erreur

Impossible de résoudre le KDC pour le secteur demandé

Cause du message

Kerberos ne peut pas déterminer un KDC pour le secteur.

Solution

Assurez-vous que le fichier de configuration de Kerberos (krb5.conf) spécifie un KDC dans la section realm .

Message d'erreur

Impossible de réutiliser le mot de passe

Cause du message

Le mot de passe que vous avez entré a déjà été employé par ce principal.

Solution

Choisissez un mot de passe non utilisé antérieurement, ou du moins dans le nombre de mots de passe conservés dans la base de données KDC pour chaque principal (cela est mis en oeuvre par la politique du principal).

Message d'erreur

Impossible d'établir la connexion avec la version 5 de Kerberos et de fournir le service de 
chiffrement

OU

Impossible d'établir la connexion avec la version 5 de Kerberos, utilisation de rlogin normal

Cause du message

Une session compatible Kerberos n'a pas pu être établie avec le service approprié (kshell pour rsh et rcp, eklogin ou klogin pour rlogin) sur le serveur. Cela peut être causé par des justificatifs d'identité incorrects.

Solution

Assurez-vous que vos justificatifs d'identité sont valides. Détruisez vos tickets avec kdestroy et créez-en de nouveaux avec kinit.
Assurez-vous que l'hôte cible possède une table de clés ayant la bonne version de la clé de service. Utilisez kadmin(1M) pour consulter le numéro de version de la clé du principal du service (par exemple, host/ nom_d'hôte_FQDN) dans la base de données Kerberos, et utilisez klist -k sur l'hôte cible afin de vérifier qu'il a le même numéro de version de clé.
Assurez-vous qu'il y a des entrées pour les services (klogin, eklogin et kshell) dans le fichier /etc/inetd.conf sur l'hôte cible.

Message d'erreur

impossible d'initialiser le secteur nom_du_secteur

Cause du message

Il se peut que le KDC ne possède pas de fichier de réserve.

Solution

Assurez-vous que le KDC possède un fichier de réserve. Sinon, créez-en un au moyen de la commande kdb5_util(1M) et tentez d'exécuter krb5kdc à nouveau (/etc/init.d/kdc).

Message d'erreur

Impossible d'obtenir les justificatifs d'identité transférés

Cause du message

Le transfert des justificatifs d'identité n'a pas pu être établi.

Solution

Assurez-vous que le principal possède des justificatifs d'identité transférables.

Message d'erreur

Impossible d'ouvrir/trouver le fichier de configuration Kerberos

Cause du message

Le fichier de configuration de Kerberos (krb5.conf) n'était pas disponible.

Solution

Assurez-vous que le fichier krb5.conf est disponible à l'emplacement approprié et qu'il possède les permissions correctes (il devrait être accessible en écriture par le superutilisateur et toute autre personne).

Message d'erreur

Indicateur incorrect pour le mode de verrouillage du fichier

Cause du message

Une erreur interne est survenue dans Kerberos.

Solution

Veuillez signaler ce problème.

Message d'erreur

Justificatif d'identité correspondant introuvable

Cause du message

Le justificatif d'identité correspondant à la requête n'a pas été trouvé. Votre requête exige des justificatifs d'identité non disponibles dans le cache des justificatifs d'identité.

Solution

Détruisez vos tickets avec kdestroy et créez-en de nouveaux avec kinit.

Message d'erreur

KDC ne peut pas remplir l'option demandée

Cause du message

Le KDC n'a pas permis l'option demandée. Ce problème peut être causé par une demande d'option postdatée ou transférable, interdite par le centre de distribution de clés (KDC). Il se peut également que vous ayez demandé un renouvellement de ticket d'octroi de tickets, sans posséder un ticket renouvelable.

Solution

Déterminez si vous demandez une option interdite par le KDC ou un élément que vous ne détenez pas.

Message d'erreur

KDC pour secteur demandé introuvable

Cause du message

Aucun KDC n'a été trouvé dans le secteur demandé.

Solution

Assurez-vous que le fichier de configuration de Kerberos (krb5.conf) spécifie un KDC dans la section realm .

Message d'erreur

Kerberos V5 refuse l'authentification

Cause du message

L'authentification n'a pas pu être négociée avec le serveur.

Solution

Message d'erreur

La clé principale ne correspond pas à la base de données

Cause du message

Le vidage de la base de données chargée n'a pas été créé à partir d'une base de données contenant la clé maîtresse, laquelle réside dans /var/krb5/.k5.SECTEUR.

Solution

Assurez-vous que la clé maîtresse située dans le fichier de vidage de la base de données chargée correspond à la clé maîtresse située dans /var/krb5/.k5.SECTEUR.

Message d'erreur

La demande est une réexécution

Cause du message

La demande a déjà été envoyée à ce serveur et traitée. Il se peut que les tickets aient été volés et qu'une autre personne tente de les réutiliser.

Solution

Attendez quelques minutes et émettez à nouveau la demande.

Message d'erreur

La politique KDC rejette la demande

Cause du message

La politique KDC n'a pas autorisé la demande. Par exemple, la demande envoyée au KDC ne comportait pas d'adresse IP, ou un transfert était demandé, mais le KDC ne l'a pas permis.

Solution

Assurez-vous d'utiliser kinit avec les options appropriées. Au besoin, modifiez la politique associée au principal ou modifiez les attributs du principal afin de permettre la demande. Vous pouvez modifier la politique ou le principal à l'aide de kadmin(1M).

Message d'erreur

La réponse KDC ne correspond pas aux attentes

Cause du message

La réponse du KDC ne contenait pas le nom de principal attendu, ou d'autres valeurs dans la réponse étaient incorrectes.

Solution

Assurez-vous que le KDC avec lequel vous communiquez est conforme à la norme RFC1510, que la requête envoyée est de type Kerberos V5, ou que le KDC est disponible.

Message d'erreur

Le champ est trop long pour cette mise en oeuvre

Cause du message

Le message envoyé par une application compatible Kerberos était trop long. La longueur maximale des messages pouvant être traités par Kerberos est 65 535 octets. En outre, des limites s'appliquent aux champs individuels dans un message de protocole envoyé par Kerberos.

Solution

Assurez-vous que vos applications compatibles Kerberos envoient des messages de longueur valide.

Message d'erreur

Le chiffrement n'a pas pu être activé. Au revoir.

Cause du message

Le chiffrement n'a pas pu être négocié avec le serveur.

Solution

Démarrez le dépannage d'authentification au moyen de la commande telnet toggle encdebug et lisez les messages de dépannage pour plus de détails.

Message d'erreur

Le client n'a pas fourni la somme de contrôle requise--connexion refusée

Cause du message

Solution

Assurez-vous que le client utilise un protocole Kerberos V5 prenant en charge la connexion initiale.

Message d'erreur

Le client ou le serveur a une clé nulle

Cause du message

Le principal possède une clé nulle.

Solution

Modifiez le principal afin que sa clé ne soit pas nulle au moyen de la commande cpw de kadmin(1M).

Message d'erreur

Le mot de passe figure dans le dictionnaire des mots de passe

Cause du message

Le mot de passe que vous avez entré figure dans un dictionnaire des mots de passe en cours d'utilisation. Ce mot de passe ne constitue pas un bon choix.

Solution

Choisissez un mot de passe ayant diverses classes de mot de passe.

Message d'erreur

Le numéro de version de clé pour le principal dans la table de clés est incorrect

Cause du message

Le numéro de version de clé d'un principal diffère dans la table de clés et dans la base de données Kerberos. Une clé de service a été changée, ou vous utilisez un vieux ticket de service.

Solution

Si une clé de service a été changée (par exemple avec kadmin), vous devez extraire la nouvelle clé et l'enregistrer dans la table de clés de l'hôte où le service est exécuté.

Il est également possible que vous utilisiez un vieux ticket de service possédant une ancienne clé. Vous pourriez exécuter la commande kdestroy, puis kinit à nouveau.

Message d'erreur

Le principal et le ticket demandés ne correspondent pas

Cause du message

Le principal du service auquel vous vous connectez et votre ticket de service ne correspondent pas.

Solution

Vérifiez que DNS fonctionne correctement. Si vous utilisez un logiciel d'un autre fournisseur, assurez-vous qu'il utilise correctement les noms de principal.

Message d'erreur

Le serveur a refusé de négocier le chiffrement. Au revoir.

Cause du message

Le chiffrement n'a pas pu être négocié avec le serveur.

Solution

Démarrez le dépannage d'authentification au moyen de la commande telnet toggle encdebug et lisez les messages de dépannage pour plus de détails.

Message d'erreur

Le serveur a rejeté l'authentification (pendant l'échange sendauth)

Cause du message

Le serveur avec lequel vous tentez de communiquer a refusé l'authentification. Cela se produit généralement lors de la propagation de la base de données Kerberos. Il peut exister un problème au niveau du fichier kpropd.acl, de DNS ou des tables de clés.

Solution

Si cette erreur survient lors de l'exécution d'applications autres que kprop, vérifiez si la table de clés du serveur est valide.

Message d'erreur

Le ticket n'est pas admissible à la postdatation

Cause du message

Le principal ne permet pas à ses tickets d'être postdatés.

Solution

Modifiez le principal à l'aide de kadmin(1M) afin de permettre le postdatage.

Message d'erreur

Le ticket n'est pas pour nous
OU
Ticket/authentificateur ne concordent pas

Cause du message

Il y a une discordance entre le ticket et l'authentificateur. Le nom du principal dans la requête peut ne pas correspondre au nom du principal du service, parce que le ticket a été envoyé avec un nom FQDN du principal alors que le service s'attendait à recevoir un nom non-FQDN ou vice-versa.

Solution

Assurez-vous que le principal du service que vous utilisez est valide.

Message d'erreur

login: load_modules: impossible d'ouvrir le module /usr/lib/security/pam_krb5.so.1

Cause du message

Soit le module d'authentification enfichable Kerberos est manquant, soit ce n'est pas un fichier binaire exécutable valide.

Solution

Assurez-vous que le module d'authentification enfichable Kerberos se trouve dans /usr/lib/security et qu'il s'agit d'un fichier binaire exécutable valide. Vérifiez également que /etc/pam.conf contient le chemin exact vers pam_krb5.so.1.

Message d'erreur

L'opération exige le privilège "privilege"

Cause du message

Le principal admin utilisé ne possède pas les privilèges appropriés configurés dans le fichier kadm5.acl.

Solution

Utilisez un principal ayant les privilèges appropriés ou configurez le principal utilisé afin qu'il détienne les privilèges appropriés en modifiant le fichier kadm5.acl. Généralement, un principal dont le nom contient le mot "/admin" possède les privilèges appropriés.

Message d'erreur

Message défectueux

Cause du message

Des messages envoyés avec confidentialité séquentielle sont arrivés dans le mauvais ordre. Il se peut que certains messages aient disparu lors de leur transmission.

Solution

Vous devriez réinitialiser la session Kerberos.