test

Manuale di Sun Enterprise Authentication Mechanism

Capitolo 4 Messaggi di errore di SEAM e soluzione dei problemi

Questo capitolo descrive le possibili soluzioni ai messaggi di errore generati da SEAM, e contiene alcuni suggerimenti utili per risolvere alcuni problemi che si possono verificare nell'uso di SEAM. Qui di seguito sono elencati i tipi di messaggi di errore e di informazioni diagnostiche contenuti in questo capitolo.

Messaggi di errore di SEAM

Questa sezione contiene informazioni sui messaggi di errore di SEAM, indicando le possibili cause e le relative soluzioni.

Messaggi di errore dello strumento Amministrazione SEAM

Messaggio di errore

Impossibile accedere agli elenchi; usare il campo Nome.
Causa

Il nome principale admin con cui è stato eseguito il login non possiede i privilegi di visualizzazione (l) nel file ACL di Kerberos (kadm5.acl), perciò non è possibile visualizzare l'elenco dei nomi principali o dei criteri.

Soluzione

Inserire i nomi principali e i nomi dei criteri nel campo Nome per modificarli, oppure eseguire il login con un nome principale che possieda i privilegi appropriati.

Messaggio di errore

JNI: Java array creation failed 
JNI: Java class lookup failed 
JNI: Java field lookup failed 
JNI: Java method lookup failed 
JNI: Java object lookup failed 
JNI: Java object field lookup failed 
JNI: Java string access failed 
JNI: Java string creation failed
Causa

Si è verificato un problema serio con la Java Native Interface usata dall'Amministrazione SEAM (gkadmin).

Soluzione

Uscire da gkadmin e riavviarlo; se il problema persiste, segnalare un problema.

Messaggi di errore comuni di SEAM (A-K)

Questa sezione contiene, in ordine alfabetico (A-K), i messaggi di errore più comuni relativi ai comandi SEAM, ai daemon SEAM, al framework PAM, all'interfaccia GSS e alla libreria di Kerberos.

Messaggio di errore

erore_primario errore_secondario gssapi error importing name
Causa

Si è verificato un errore durante l'importazione del nome di un servizio.

Soluzione

Verificare che il nome principale del servizio host o ftp sia incluso nella tabella di chiavi dell'host.

Messaggio di errore

Autorizzazione negata nel codice della cache di ripetizione
Causa

Non è stato possibile aprire la cache di ripetizione del sistema. È possibile che il server sia stato avviato la prima volta con un ID utente differente da quello corrente dell'utente.

Soluzione

Verificare che la cache di ripetizione possieda le autorizzazioni appropriate. La cache di ripetizione è memorizzata nell'host su cui è in esecuzione l'applicazione server basata su Kerberos (/usr/tmp/rc_nome_servizio). Invece di cambiare le autorizzazioni della cache di ripetizione corrente, è possibile rimuovere la cache prima di avviare il server basato su Kerberos con un ID utente differente.

Messaggio di errore

Controllo di integrità nella decodifica non riuscito
Causa

L'utente potrebbe avere un ticket non valido.

Soluzione

  1. Verificare che le credenziali possedute siano valide. Distruggere i ticket con kdestroy e creare nuovi ticket con kinit.

  2. Verificare che sull'host di destinazione sia presente una tabella di chiavi con la versione corretta della chiave del servizio. Usare kadmin(1M) per visualizzare il numero di versione della chiave del nome principale del servizio (ad esempio, host/FQDN_nome_host) nel database di Kerberos e usare klist -k sull'host di destinazione per controllare che il numero di versione della chiave sia uguale.

Messaggio di errore

Destinatario del ticket errato
 
OPPURE
 
Il ticket e i dati di autenticazione non corrispondono
Causa

Il ticket e i dati di autenticazione non corrispondono. È possibile che il nome principale nella richiesta non corrispondesse al nome principale del servizio, poiché il ticket era stato inviato con un nome FQDN per il nome principale mentre il servizio si aspettava un nome non-FQDN o viceversa.

Soluzione

Verificare che il nome principale utilizzato per il servizio sia corretto.

Messaggio di errore

df: impossibile eseguire statvfs su filesystem: argomento errato
Causa

Il comando df non riesce ad accedere al file system NFS basato su Kerberos, che è correntemente attivato, per generare il suo report, poiché l'utente non ha più le credenziali di root appropriate. La distruzione delle credenziali per un file system basato su Kerberos non disattiva automaticamente il file system.

Soluzione

È necessario creare nuove credenziali di root per accedere al file system basato su Kerberos. Se non è più necessario accedere al file system, disattivarlo.

Messaggio di errore

È stato rilevato un loop all'interno di krb5_get_in_tkt
Causa

Kerberos ha cercato diverse volte di ottenere i ticket iniziali senza riuscirvi.

Soluzione

Verificare che almeno un KDC stia rispondendo alle richieste di autenticazione.

Messaggio di errore

È stato specificato un tipo di messaggio non valido per la codifica
Causa

Kerberos non ha riconosciuto il tipo di messaggio inviato dall'applicazione basata su Kerberos.

Soluzione

Se si utilizza un'applicazione basata su Kerberos sviluppata internamente o da un fornitore, verificare che utilizzi Kerberos in modo corretto.

Messaggio di errore

Errore della GSS-API (o di Kerberos)
Causa

Questo è un messaggio di errore generico relativo alla GSS-API o a Kerberos, che può essere causato da vari tipi di problemi.

Soluzione

Esaminare il file /etc/krb5/kdc.log per ricercare messaggi di errore più specifici relativi alla GSS-API registrati quando il problema si è verificato.

Messaggio di errore

Errore di comunicazione con il server durante l'inizializzazione dell'interfaccia kadmin
Causa

L'host specificato per il server di amministrazione (KDC master) non eseguiva kadmind.

Soluzione

Controllare di aver specificato il nome host corretto per il KDC master. Se è stato specificato il nome host corretto, verificare che kadmind sia in esecuzione sul KDC master specificato.

Messaggio di errore

Errore di configurazione: La richiesta di checksum 
con -c è incoerente con l'abilitazione delle connessioni Kerberos V4
Causa

L'autenticazione con checksum non è stata negoziata con il client. È possibile che il client utilizzi un vecchio protocollo Kerberos V5 che non supporta la connessione iniziale.

Soluzione

Verificare che il client utilizzi un protocollo Kerberos V5 che supporti la connessione iniziale.

Messaggio di errore

Errore KADM: Errore di allocazione della memoria
Causa

Non vi è memoria sufficiente per l'esecuzione di kadmin.

Soluzione

Liberare memoria e riprovare ad eseguire kadmin.

Messaggio di errore

Errore nel formato del file di configurazione Kerberos
Causa

Il file di configurazione di Kerberos (krb5.conf) contiene voci non valide.

Soluzione

Verificare che le relazioni specificate nel file krb5.conf siano seguite dal segno "=" e da un valore, e che in ogni sottosezione vi sia una coppia di parentesi.

Messaggio di errore

Errore nel nome host del server di amministrazione krb5 durante l'inizializzazione 
dell'interfaccia kadmin
Causa

Il nome host configurato per il server di amministrazione (KDC master) nel file krb5.conf non è valido.

Soluzione

Specificare il nome host corretto per il server di amministrazione (KDC master) nel file krb5.conf.

Messaggio di errore

Flag non valido per la modalità di blocco dei file
Causa

Si è verificato un errore interno di Kerberos.

Soluzione

Segnalare il problema.

Messaggio di errore

Flusso del messaggio modificato
Causa

Il checksum calcolato e il checksum del messaggio non corrispondono. È possibile che il messaggio sia stato modificato durante il transito, e che questo segnali una violazione della sicurezza.

Soluzione

Verificare che i messaggi vengano inviati attraverso la rete in modo corretto. Poiché questo messaggio può segnalare una possibile modifica dei messaggi durante la trasmissione, distruggere i ticket con il comando kdestroy e reinizializzare i servizi Kerberos in uso.

Messaggio di errore

I criteri del KDC rifiutano la richiesta
Causa

I criteri del KDC non permettono l'accettazione della richiesta. Ad esempio, è possibile che la richiesta al KDC non specifichi un indirizzo IP, o che sia stato richiesto un inoltro che il KDC non consente.

Soluzione

Usare kinit con le opzioni corrette. Se necessario, modificare i criteri associati al nome principale o modificare gli attributi del nome principale per rendere la richiesta accettabile. I criteri o il nome principale possono essere modificati con kadmin(1M).

Messaggio di errore

Il campo è troppo lungo per questa implementazione
Causa

Il messaggio inviato da un'applicazione basata su Kerberos era troppo lungo. La dimensione massima dei messaggi che possono essere gestiti da Kerberos è di 65535 byte. Vi sono inoltre limiti per i singoli campi all'interno dei messaggi di protocollo inviati da Kerberos.

Soluzione

Controllare che le applicazioni basate su Kerberos inviino messaggi con dimensioni valide.

Messaggio di errore

Il client non ha fornito il checksum richiesto - connessione rifiutata
Causa

L'autenticazione con checksum non è stata negoziata con il client. È possibile che il client utilizzi un vecchio protocollo Kerberos V5 che non supporta la connessione iniziale.

Soluzione

Verificare che il client utilizzi un protocollo Kerberos V5 che supporti la connessione iniziale.

Messaggio di errore

Il client o il server ha una chiave nulla
Causa

Il nome principale ha una chiave nulla.

Soluzione

Modificare il nome principale in modo che abbia una chiave non nulla usando il comando cpw di kadmin(1M).

Messaggio di errore

Il KDC non può eseguire l'opzione richiesta
Causa

Il KDC non può accettare l'opzione richiesta. Ad esempio, è possibile che siano state richieste opzioni postdatate o inoltrabili e che il KDC non le supporti. Oppure, è possibile che l'utente abbia richiesto il rinnovo di un TGT senza possedere un TGT rinnovabile.

Soluzione

Determinare se l'opzione richiesta non è consentita dal KDC o se non si possiedono i requisiti per la richiesta.

Messaggio di errore

Il nome host non può essere canonicizzato
Causa

Kerberos non può rendere pienamente qualificato il nome host.

Soluzione

Verificare che il nome host sia incluso nel DNS e che le mappature nomehost-indirizzo e indirizzo-nomehost siano coerenti.

Messaggio di errore

Il nome principale richiesto e il ticket non corrispondono
Causa

Il nome principale del servizio a cui si cerca di accedere e il ticket del servizio non corrispondono.

Soluzione

Verificare che il DNS funzioni correttamente. Se si sta usando un software di un altro produttore, verificare che utilizzi i nomi principali correttamente.

Messaggio di errore

Il server ha rifiutato di negoziare la cifratura. Arrivederci.
Causa

La cifratura non ha potuto essere negoziata con il server.

Soluzione

Avviare un operazione di debugging dell'autenticazione con il comando telnet toggle encdebug ed esaminare i messaggi risultanti.

Messaggio di errore

Il server ha rifiutato l'autenticazione (durante lo scambio sendauth)
Causa

Il server con cui si cerca di comunicare ha rifiutato l'autenticazione. In genere, questo errore si verifica durante la propagazione del database di Kerberos. La causa può essere un problema con il file kpropd.acl, il DNS o i file delle tabelle di chiavi.

Soluzione

Se si riceve questo errore quando si eseguono applicazioni diverse da kprop, determinare se la tabella di chiavi del server sia corretta.

Messaggio di errore

Il ticket non è ancora valido
Causa

Il ticket postdatato non è ancora valido.

Soluzione

Creare nuovi ticket con la data corretta o attendere che i ticket correnti diventino validi.

Messaggio di errore

Il ticket non può essere postdatato
Causa

Il nome principale non permette che i suoi ticket siano postdatati.

Soluzione

Modificare il nome principale con kadmin(1M) per abilitare la postdatazione.

Messaggio di errore

Impossibile abilitare la cifratura. Arrivederci.
Causa

La cifratura non ha potuto essere negoziata con il server.

Soluzione

Avviare un'operazione di debugging dell'autenticazione eseguendo il comando telnet toggle encdebug ed esaminare i messaggi risultanti.

Messaggio di errore

Impossibile aprire/trovare il file di configurazione Kerberos
Causa

Il file di configurazione di Kerberos (krb5.conf) non era disponibile.

Soluzione

Controllare che il file krb5.conf sia disponibile nella posizione corretta e che possieda le autorizzazioni appropriate (dovrebbe essere scrivibile da root e accessibile in lettura da tutti gli utenti).

Messaggio di errore

Impossibile autenticare con sicurezza l'utente... operazione interrotta
Causa

L'autenticazione non ha potuto essere negoziata con il server.

Soluzione

Avviare un'operazione di debugging dell'autenticazione con il comando telnet toggle authdebug ed esaminare i messaggi risultanti. Verificare anche di possedere credenziali valide.

Messaggio di errore

Impossibile codificare la scrittura sulla rete
Causa

Si è verificato un problema nella cifratura dei dati.

Soluzione

Cercare di identificare altri possibili problemi sul sistema esaminando altri messaggi di syslog.

Messaggio di errore

Impossibile connettersi con Kerberos V5 e fornire il servizio di cifratura
 
OPPURE
 
Impossibile connettersi con Kerberos V5, usando un normale rlogin
Causa

Non è stato possibile stabilire una sessione Kerberos con il servizio appropriato (kshell per rsh e rcp, eklogin o klogin per rlogin) sul server. Questo può essere dovuto a credenziali non valide.

Soluzione

  1. Verificare che le credenziali possedute siano valide. Distruggere i ticket con kdestroy e crearne di nuovi con kinit.

  2. Verificare che sull'host di destinazione sia presente una tabella di chiavi con la versione corretta della chiave del servizio. Usare kadmin(1M) per visualizzare il numero di versione della chiave del nome principale del servizio (ad esempio, host/FQDN_nomehost) nel database di Kerberos e usare klist -k sull'host di destinazione per controllare che il numero di versione della chiave sia uguale.

  3. Verificare che il file /etc/inetd.conf sull'host di destinazione contenga le voci per i servizi (klogin, eklogin e kshell).

Messaggio di errore

Impossibile contattare un KDC per il settore richiesto
Causa

Nessun KDC ha risposto nel settore specificato nella richiesta.

Soluzione

Verificare che sia raggiungibile almeno un KDC (master o slave) o che il daemon krb5kdc sia in esecuzione sui KDC. Cercare nel file /etc/krb5/krb5.conf l'elenco dei KDC che sono stati configurati (kdc = nome_kdc).

Messaggio di errore

Impossibile determinare il settore per l'host
Causa

Kerberos non riesce a determinare il nome del settore per l'host.

Soluzione

Verificare che il file di configurazione di Kerberos (krb5.conf) contenga un nome di settore predefinito o una mappa per i nomi di dominio.

Messaggio di errore

Impossibile inizializzare il settore nome_settore
Causa

Il KDC non possiede un file segreto.

Soluzione

Controllare se il KDC possieda un file segreto. In caso negativo, crearne uno usando il comando kdb5_util(1M) e provare a rieseguire krb5kdc (/etc/init.d/kdc).

Messaggio di errore

Impossibile ottenere la cache delle credenziali
Causa

Durante l'inizializzazione di kadmin, si è verificato un errore quando kadmin ha cercato di ottenere le credenziali per il nome principale admin.

Soluzione

Verificare di aver usato il nome principale corretto e/o la password corretta durante l'esecuzione di kadmin.

Messaggio di errore

Impossibile risolvere il KDC per il settore richiesto
Causa

Kerberos non riesce a identificare nessun KDC per il settore.

Soluzione

Controllare che il file di configurazione di Kerberos (krb5.conf) specifichi un KDC nella sezione realm.

Messaggio di errore

Impossibile riutilizzare la password
Causa

La password inserita era già stata usata in precedenza per lo stesso nome principale.

Soluzione

Scegliere una password che non sia stata usata in precedenza, o almeno che non faccia parte delle password conservate nel database KDC per ogni nome principale (i parametri di conservazione sono stabiliti dai criteri relativi al nome principale).

Messaggio di errore

Impossibile trovare le credenziali inoltrate
Causa

Non è stato possibile eseguire l'inoltro delle credenziali.

Soluzione

Verificare che il nome principale possieda credenziali inoltrabili.

Messaggio di errore

Impossibile trovare un KDC per il settore richiesto
Causa

Non è stato trovato nessun KDC nel settore specificato nella richiesta.

Soluzione

Verificare che il file di configurazione di Kerberos (krb5.conf) specifichi un KDC nella sezione realm.

Messaggio di errore

Incoerenza del settore client/server nella richiesta di ticket iniziale
Causa

Il settore del client non corrispondeva a quello del server nella richiesta iniziale del ticket.

Soluzione

Verificare che il server con cui si sta comunicando si trovi nello stesso settore del client o che le configurazioni dei settori siano corrette.

Messaggio di errore

Indirizzo di rete non corretto
Causa

È stata rilevata un'incoerenza nell'indirizzo di rete. L'indirizzo di rete specificato nel ticket inoltrato era diverso da quello in cui il ticket è stato elaborato. Questo problema si può verificare durante l'inoltro dei ticket.

Soluzione

Verificare che gli indirizzi di rete siano corretti; distruggere i ticket con kdestroy e crearne di nuovi con kinit.

Messaggio di errore

Kerberos V5 rifiuta l'autenticazione
Causa

L'autenticazione non ha potuto essere negoziata con il server.

Soluzione

Avviare un'operazione di debugging dell'autenticazione con il comando telnet toggle authdebug ed esaminare i messaggi risultanti. Verificare anche di possedere credenziali valide.

Messaggi di errore comuni di SEAM (L-Z)

Questa sezione contiene, in ordine alfabetico (L-Z), i messaggi di errore più comuni relativi ai comandi SEAM, ai daemon SEAM, al framework PAM e alla libreria di Kerberos.

Messaggio di errore

L'operazione richiede i privilegi "privilegi"
Causa

Il nome principale admin utilizzato non possiede i privilegi appropriati configurati nel file kadm5.acl.

Soluzione

Usare un nome principale che possieda i privilegi appropriati o configurare il nome principale utilizzato assegnandogli i privilegi appropriati modificando il file kadm5.acl. Normalmente, un nome principale con "/admin" all'interno del nome possiede i privilegi appropriati.

Messaggio di errore

La chiave master non corrisponde a quella nel database
Causa

Il file di archiviazione del database caricato non è stato creato da un database contenente la chiave master, situato in /var/krb5/.k5.SETTORE.

Soluzione

Verificare che la chiave master contenuta nel file di archiviazione del database caricato corrisponda alla chiave master situata in /var/krb5/.k5.SETTORE.

Messaggio di errore

La cifratura non è stata negoziata con successo. Arrivederci.
Causa

La cifratura non ha potuto essere negoziata.

Soluzione

Esaminare i messaggi di errore nel file di log del KDC.

Messaggio di errore

La negoziazione dell'autenticazione non è riuscita, ma è richiesta per la cifratura. 
Arrivederci.
Causa

L'autenticazione non ha potuto essere negoziata con il server.

Soluzione

Avviare un'operazione di debugging dell'autenticazione richiamando il comando telnet toggle authdebug ed esaminare i messaggi che vengono generati. Controllare anche di possedere credenziali valide.

Messaggio di errore

La password si trova nel dizionario delle password
Causa

La password inserita è contenuta in un dizionario delle password. È consigliabile scegliere un'altra password.

Soluzione

Scegliere una password che utilizzi diverse classi di caratteri.

Messaggio di errore

La richiesta è una ripetizione
Causa

La richiesta è già stata inviata a questo server ed è già stata elaborata. È possibile che i ticket siano stati rubati e che un altro utente stia cercando di riutilizzarli.

Soluzione

Attendere alcuni minuti e ripetere la richiesta.

Messaggio di errore

La risposta del KDC non corrisponde alle aspettative
Causa

La risposta del KDC non conteneva il nome principale atteso, oppure altri valori nella risposta non erano corretti.

Soluzione

Verificare che il KDC con cui si sta comunicando sia conforme a RFC1510, che la richiesta inviata sia una richiesta Kerberos V5, o che il KDC sia disponibile.

Messaggio di errore

La versione del protocollo richiesta non è supportata
Causa

Probabilmente è stata inviata una richiesta Kerberos V4 al KDC. SEAM supporta solo il protocollo Kerberos V5.

Soluzione

Verificare che le applicazioni utilizzino il protocollo Kerberos V5.

Messaggio di errore

La versione della chiave per il nome principale nella tabella di chiavi non è corretta
Causa

La versione della chiave di un nome principale è diversa nella tabella di chiavi e nel database di Kerberos. È possibile che una delle chiavi del servizio sia stata modificata o che si stia utilizzando un ticket vecchio.

Soluzione

Se la chiave del servizio è stata modificata (ad esempio con kadmin), sarà necessario estrarre la nuova chiave e memorizzarla nella tabella di chiavi dell'host su cui il servizio è in esecuzione.

Oppure, se si sta utilizzando un ticket vecchio per il servizio, si potrà eseguire il comando kdestroy e quindi un nuovo kinit.

Messaggio di errore

Le autorizzazioni del file della cache delle credenziali non sono corrette
Causa

L'utente non possiede le autorizzazioni di lettura o di scrittura appropriate nella cache delle credenziali (/tmp/krb5cc_uid).

Soluzione

Verificare di possedere le autorizzazioni di lettura e scrittura nella cache delle credenziali.

Messaggio di errore

Le versioni dei protocolli non corrispondono
Causa

Probabilmente è stata inviata una richiesta Kerberos V4 al KDC. SEAM supporta solo il protocollo Kerberos V5.

Soluzione

Verificare che le applicazioni utilizzino il protocollo Kerberos V5.

Messaggio di errore

login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1
Causa

Il modulo PAM di Kerberos non è presente o non è un file binario eseguibile valido.

Soluzione

Verificare che il modulo PAM di Kerberos sia incluso in /usr/lib/security e che sia un file binario eseguibile valido. Controllare inoltre che /etc/pam.conf contenga il percorso corretto per pam_krb5.so.1.

Messaggio di errore

Mancano parametri richiesti in kdc.conf durante l'inizializzazione dell'interfaccia
Causa

Manca un parametro (ad esempio admin_server) nel file kr5.conf.

Soluzione

Determinare quale sia il parametro mancante e aggiungerlo a krb5.conf.

Messaggio di errore

Messaggio in ordine errato
Causa

I messaggi inviati usando la funzione di riservatezza basata sull'ordine sequenziale sono arrivati non in ordine. È possibile che alcuni messaggi siano andati perduti nel transito.

Soluzione

Reinizializzare la sessione di Kerberos.

Messaggio di errore

Nome principale errato nella richiesta
Causa

Il ticket conteneva un nome principale non valido. Può trattarsi di un problema del DNS o dell'FQDN.

Soluzione

Verificare che il nome principale del servizio corrisponda a quello del ticket.

Messaggio di errore

Non è stato abilitato nessun sistema di autenticazione; tutte le connessioni verranno 
rifiutate
Causa

Questa versione di rlogind non supporta nessun meccanismo di autenticazione.

Soluzione

Richiamare rlogind con l'opzione -k. Questa dovrebbe essere l'impostazione predefinita specificata nel file inetd.conf.

Messaggio di errore

Non è stato trovato nessun file della cache delle credenziali
Causa

Kerberos non è riuscito a trovare la cache delle credenziali (/tmp/krb5cc_uid).

Soluzione

Verificare che il file delle credenziali esista e sia leggibile. In caso negativo, provare a rieseguire kinit.

Messaggio di errore

Non sono state trovate credenziali corrispondenti
Causa

La credenziale necessaria per la richiesta non è stata trovata. Le credenziali necessarie per la richiesta non sono disponibili nella cache delle credenziali.

Soluzione

Distruggere i ticket con kdestroy e crearne di nuovi con kinit.

Messaggio di errore

Numero di classi di caratteri non valido
Causa

La password inserita per il nome principale non contiene un numero sufficiente di classi in base ai criteri associati al nome principale.

Soluzione

Inserire una password con il numero minimo di classi richieste dai criteri applicabili.

Messaggio di errore

nuovo tentativo di des_read; il conteggio ha superato valore
Causa

Si è verificato più volte lo stesso errore durante la lettura dei dati.

Soluzione

Cercare di identificare altri possibili problemi del sistema esaminando altri messaggi di syslog.

Messaggio di errore

Operazione di I/O nella cache delle credenziali non riuscita XXX
Causa

Kerberos ha avuto un problema di scrittura nella cache delle credenziali del sistema (/tmp/krb5cc_uid).

Soluzione

Controllare che la cache delle credenziali non sia stata rimossa e che sul dispositivo vi sia spazio sufficiente usando il comando df.

Messaggio di errore

PAM-KRB5: Autenticazione Kerberos V5 non riuscita: la password non è corretta
Causa

La password UNIX e la password Kerberos dell'utente sono differenti. La maggior parte dei comandi non basati su Kerberos, come login, vengono configurati attraverso il modulo PAM per autenticarsi automaticamente con Kerberos usando la stessa password specificata come password UNIX. Se le due password sono differenti, l'autenticazione Kerberos non può essere eseguita.

Soluzione

Inserire la password per Kerberos alla richiesta del sistema.

Messaggio di errore

Per accedere a questo host occorre usare un altro meccanismo di autenticazione
Causa

L'autenticazione non è riuscita.

Soluzione

Verificare che il client stia usando Kerberos V5 per l'autenticazione.

Messaggio di errore

Raggiunta la fine della cache delle credenziali
Causa

Si è verificato un errore nella lettura della cache delle credenziali (/tmp/krb5cc_uid).

Soluzione

Verificare che la cache delle credenziali sia leggibile e che contenga dati.

Messaggio di errore

Rilevato un troncamento nel file di input
Causa

Il file di archiviazione del database utilizzato nell'operazione non è completo.

Soluzione

Ricreare il file di archiviazione o usare un file di archiviazione differente.

Messaggio di errore

Si sta utilizzando un vecchio client Kerberos5 senza il supporto dei checksum;
sono autorizzati solo client più recenti.
Causa

L'autenticazione con checksum non è stata negoziata con il client. È possibile che il client utilizzi un vecchio protocollo Kerberos V5 che non supporta la connessione iniziale.

Soluzione

Verificare che il client utilizzi un protocollo Kerberos V5 che supporti la connessione iniziale.

Messaggio di errore

Ticket non ammesso per operazioni tra più settori
Causa

Il ticket inviato non era impostato correttamente per quanto riguarda la relazione tra i settori. È possibile che le relazioni di fiducia tra i settori non siano impostate correttamente.

Soluzione

Verificare che i settori utilizzati dispongano delle relazioni di fiducia corrette.

Messaggio di errore

Ticket scaduto
Causa

È possibile che il ticket sia scaduto.

Soluzione

Distruggere i ticket con kdestroy e creare nuovi ticket con kinit.

Messaggio di errore

Tipo di checksum inappropriato nel messaggio
Causa

Il messaggio conteneva un tipo di checksum non valido.

Soluzione

Controllare i tipi di checksum validi specificati nei file krb5.conf e kdc.conf.

Messaggio di errore

Tutti i sistemi di autenticazione sono disabilitati; connessione rifiutata
Causa

Questa versione di rlogind non supporta nessun meccanismo di autenticazione.

Soluzione

Richiamare rlogind con l'opzione -k. Questa dovrebbe essere l'impostazione predefinita specificata nel file inetd.conf.

Messaggio di errore

Voce della tabella di chiavi non trovata
Causa

La tabella di chiavi del server di applicazioni di rete non contiene una voce per il nome principale del servizio.

Soluzione

Aggiungere il nome principale appropriato per il servizio alla tabella di chiavi del server, in modo che possa fornire il servizio basato su Kerberos.

Soluzione dei problemi di SEAM

Questa sezione contiene informazioni riguardo alla soluzione dei problemi che si possono verificare nell'uso del software SEAM.

Problemi con il formato del file krb5.conf

Se il file krb5.conf non è formattato correttamente, il comando telnet non può essere eseguito. Tuttavia, i comandi dtlogin e login potranno ugualmente essere eseguiti, anche se il file krb5.conf è specificato come necessario per i comandi. Se si verifica questo problema, compare il seguente messaggio di errore: 


Errore nell'inizializzazione di krb5: Errore nel formato del file di 
configurazione Kerberos

Un problema con il formato del file krb5.conf può esporre il sistema a una violazione della sicurezza. Correggere il problema prima di consentire l'utilizzo delle funzioni di SEAM.

Problemi nella propagazione del database di Kerberos

Se la propagazione del database di Kerberos non riesce, provare ad eseguire /usr/krb5/bin/rlogin -x tra il KDC slave e il master e viceversa.

Nota -

Se i KDC sono stati configurati per un accesso limitato, il comando rlogin è disabilitato e non può essere usato per diagnosticare questo problema. Per abilitare rlogin su un KDC, è necessario togliere il commento dalla voce eklogin nel file /etc/inetd.conf e riavviare inetd come segue:


# ps -eaf | grep inetd       viene visualizzato l'ID di processo di inetd
# kill -1 pid_di_inetd

Una volta diagnosticato il problema, occorrerà riportare il file inetd.conf allo stato originario e riavviare nuovamente inetd.

Se rlogin non funziona, è probabile che il problema sia legato alle tabelle di chiavi sui KDC. Se rlogin funziona, significa che il problema non è associato alla tabella di chiavi o al servizio di denominazione, poiché rlogin e il software di propagazione utilizzano lo stesso nome principale host/nome_host. In questo caso, verificare che il file kpropd.acl sia corretto.

Problemi nell'attivazione di un file system NFS basato su Kerberos

In questo esempio, la configurazione consente un unico riferimento alle diverse interfacce e permette un unico nome principale per il servizio invece dei tre nomi principali della tabella di chiavi del server.

Problemi nell'autenticazione come root

Se l'autenticazione non riesce quando si cerca di diventare superutente sul sistema e si è già aggiunto il nome principale di root alla tabella di chiavi dell'host, vi sono due possibili problemi da controllare. In primo luogo, verificare che il nome principale di root nella tabella di chiavi abbia un nome pienamente qualificato come istanza. In caso affermativo, controllare nel file /etc/resolv.conf che il sistema sia configurato correttamente come client DNS.