Soluzione dei problemi di SEAM
Questa sezione contiene informazioni riguardo alla soluzione dei problemi che si possono verificare nell'uso del software SEAM.
Problemi con il formato del file krb5.conf
Se il file krb5.conf non è formattato correttamente, il comando telnet non può essere eseguito. Tuttavia, i comandi dtlogin e login potranno ugualmente essere eseguiti, anche se il file krb5.conf è specificato come necessario per i comandi. Se si verifica questo problema, compare il seguente messaggio di errore:
Errore nell'inizializzazione di krb5: Errore nel formato del file di configurazione Kerberos |
Un problema con il formato del file krb5.conf può esporre il sistema a una violazione della sicurezza. Correggere il problema prima di consentire l'utilizzo delle funzioni di SEAM.
Problemi nella propagazione del database di Kerberos
Se la propagazione del database di Kerberos non riesce, provare ad eseguire /usr/krb5/bin/rlogin -x tra il KDC slave e il master e viceversa.
Nota -
Se i KDC sono stati configurati per un accesso limitato, il comando rlogin è disabilitato e non può essere usato per diagnosticare questo problema. Per abilitare rlogin su un KDC, è necessario togliere il commento dalla voce eklogin nel file /etc/inetd.conf e riavviare inetd come segue:
# ps -eaf | grep inetd viene visualizzato l'ID di processo di inetd # kill -1 pid_di_inetd |
Una volta diagnosticato il problema, occorrerà riportare il file inetd.conf allo stato originario e riavviare nuovamente inetd.
Se rlogin non funziona, è probabile che il problema sia legato alle tabelle di chiavi sui KDC. Se rlogin funziona, significa che il problema non è associato alla tabella di chiavi o al servizio di denominazione, poiché rlogin e il software di propagazione utilizzano lo stesso nome principale host/nome_host. In questo caso, verificare che il file kpropd.acl sia corretto.
Problemi nell'attivazione di un file system NFS basato su Kerberos
-
Se non si riesce ad attivare un file system NFS basato su Kerberos, verificare che il file /var/tmp/rc_nfs sia presente sul server NFS. Se questo file non è di proprietà di root, rimuoverlo e riprovare l'attivazione.
-
Se si incontrano problemi nell'accedere a un file system NFS basato su Kerberos, verificare che il file inetd.conf del sistema e del server NFS contenga una voce per gssd.
-
Se cercando di accedere a un file system NFS basato su Kerberos si riceve il messaggio di errore argomento errato o directory errata, è possibile che non si stia utilizzando un nome DNS pienamente qualificato per attivare il file system NFS. In questo caso, l'host da attivare non corrisponde al nome host incluso nel nome principale del servizio nella tabella di chiavi del server.
Questo problema si può verificare anche se il server ha diverse interfacce Ethernet e il DNS è stato configurato per usare uno schema "nome per interfaccia" anziché uno schema "più record di indirizzi per host". Per SEAM, si dovrebbero configurare più record di indirizzi per ogni host come segue [Ken Hornstein, "Kerberos FAQ," [http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html], 11 dicembre 1998.] :
mio.nome.host. A 1.2.3.4 A 1.2.4.4 A 1.2.5.4 mio-en0.nome.host. A 1.2.3.4 mio-en1.nome.host. A 1.2.4.4 mio-en2.nome.host. A 1.2.5.4 4.3.2.1 PTR mio.nome.host. 4.4.2.1 PTR mio.nome.host. 4.5.2.1 PTR mio.nome.host.
In questo esempio, la configurazione consente un unico riferimento alle diverse interfacce e permette un unico nome principale per il servizio invece dei tre nomi principali della tabella di chiavi del server.
Problemi nell'autenticazione come root
Se l'autenticazione non riesce quando si cerca di diventare superutente sul sistema e si è già aggiunto il nome principale di root alla tabella di chiavi dell'host, vi sono due possibili problemi da controllare. In primo luogo, verificare che il nome principale di root nella tabella di chiavi abbia un nome pienamente qualificato come istanza. In caso affermativo, controllare nel file /etc/resolv.conf che il sistema sia configurato correttamente come client DNS.
- © 2010, Oracle Corporation and/or its affiliates