test

Manuale di Sun Enterprise Authentication Mechanism

Messaggi di errore comuni di SEAM (L-Z)

Questa sezione contiene, in ordine alfabetico (L-Z), i messaggi di errore più comuni relativi ai comandi SEAM, ai daemon SEAM, al framework PAM e alla libreria di Kerberos.

Messaggio di errore

L'operazione richiede i privilegi "privilegi"
Causa

Il nome principale admin utilizzato non possiede i privilegi appropriati configurati nel file kadm5.acl.

Soluzione

Usare un nome principale che possieda i privilegi appropriati o configurare il nome principale utilizzato assegnandogli i privilegi appropriati modificando il file kadm5.acl. Normalmente, un nome principale con "/admin" all'interno del nome possiede i privilegi appropriati.

Messaggio di errore

La chiave master non corrisponde a quella nel database
Causa

Il file di archiviazione del database caricato non è stato creato da un database contenente la chiave master, situato in /var/krb5/.k5.SETTORE.

Soluzione

Verificare che la chiave master contenuta nel file di archiviazione del database caricato corrisponda alla chiave master situata in /var/krb5/.k5.SETTORE.

Messaggio di errore

La cifratura non è stata negoziata con successo. Arrivederci.
Causa

La cifratura non ha potuto essere negoziata.

Soluzione

Esaminare i messaggi di errore nel file di log del KDC.

Messaggio di errore

La negoziazione dell'autenticazione non è riuscita, ma è richiesta per la cifratura. 
Arrivederci.
Causa

L'autenticazione non ha potuto essere negoziata con il server.

Soluzione

Avviare un'operazione di debugging dell'autenticazione richiamando il comando telnet toggle authdebug ed esaminare i messaggi che vengono generati. Controllare anche di possedere credenziali valide.

Messaggio di errore

La password si trova nel dizionario delle password
Causa

La password inserita è contenuta in un dizionario delle password. È consigliabile scegliere un'altra password.

Soluzione

Scegliere una password che utilizzi diverse classi di caratteri.

Messaggio di errore

La richiesta è una ripetizione
Causa

La richiesta è già stata inviata a questo server ed è già stata elaborata. È possibile che i ticket siano stati rubati e che un altro utente stia cercando di riutilizzarli.

Soluzione

Attendere alcuni minuti e ripetere la richiesta.

Messaggio di errore

La risposta del KDC non corrisponde alle aspettative
Causa

La risposta del KDC non conteneva il nome principale atteso, oppure altri valori nella risposta non erano corretti.

Soluzione

Verificare che il KDC con cui si sta comunicando sia conforme a RFC1510, che la richiesta inviata sia una richiesta Kerberos V5, o che il KDC sia disponibile.

Messaggio di errore

La versione del protocollo richiesta non è supportata
Causa

Probabilmente è stata inviata una richiesta Kerberos V4 al KDC. SEAM supporta solo il protocollo Kerberos V5.

Soluzione

Verificare che le applicazioni utilizzino il protocollo Kerberos V5.

Messaggio di errore

La versione della chiave per il nome principale nella tabella di chiavi non è corretta
Causa

La versione della chiave di un nome principale è diversa nella tabella di chiavi e nel database di Kerberos. È possibile che una delle chiavi del servizio sia stata modificata o che si stia utilizzando un ticket vecchio.

Soluzione

Se la chiave del servizio è stata modificata (ad esempio con kadmin), sarà necessario estrarre la nuova chiave e memorizzarla nella tabella di chiavi dell'host su cui il servizio è in esecuzione.

Oppure, se si sta utilizzando un ticket vecchio per il servizio, si potrà eseguire il comando kdestroy e quindi un nuovo kinit.

Messaggio di errore

Le autorizzazioni del file della cache delle credenziali non sono corrette
Causa

L'utente non possiede le autorizzazioni di lettura o di scrittura appropriate nella cache delle credenziali (/tmp/krb5cc_uid).

Soluzione

Verificare di possedere le autorizzazioni di lettura e scrittura nella cache delle credenziali.

Messaggio di errore

Le versioni dei protocolli non corrispondono
Causa

Probabilmente è stata inviata una richiesta Kerberos V4 al KDC. SEAM supporta solo il protocollo Kerberos V5.

Soluzione

Verificare che le applicazioni utilizzino il protocollo Kerberos V5.

Messaggio di errore

login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1
Causa

Il modulo PAM di Kerberos non è presente o non è un file binario eseguibile valido.

Soluzione

Verificare che il modulo PAM di Kerberos sia incluso in /usr/lib/security e che sia un file binario eseguibile valido. Controllare inoltre che /etc/pam.conf contenga il percorso corretto per pam_krb5.so.1.

Messaggio di errore

Mancano parametri richiesti in kdc.conf durante l'inizializzazione dell'interfaccia
Causa

Manca un parametro (ad esempio admin_server) nel file kr5.conf.

Soluzione

Determinare quale sia il parametro mancante e aggiungerlo a krb5.conf.

Messaggio di errore

Messaggio in ordine errato
Causa

I messaggi inviati usando la funzione di riservatezza basata sull'ordine sequenziale sono arrivati non in ordine. È possibile che alcuni messaggi siano andati perduti nel transito.

Soluzione

Reinizializzare la sessione di Kerberos.

Messaggio di errore

Nome principale errato nella richiesta
Causa

Il ticket conteneva un nome principale non valido. Può trattarsi di un problema del DNS o dell'FQDN.

Soluzione

Verificare che il nome principale del servizio corrisponda a quello del ticket.

Messaggio di errore

Non è stato abilitato nessun sistema di autenticazione; tutte le connessioni verranno 
rifiutate
Causa

Questa versione di rlogind non supporta nessun meccanismo di autenticazione.

Soluzione

Richiamare rlogind con l'opzione -k. Questa dovrebbe essere l'impostazione predefinita specificata nel file inetd.conf.

Messaggio di errore

Non è stato trovato nessun file della cache delle credenziali
Causa

Kerberos non è riuscito a trovare la cache delle credenziali (/tmp/krb5cc_uid).

Soluzione

Verificare che il file delle credenziali esista e sia leggibile. In caso negativo, provare a rieseguire kinit.

Messaggio di errore

Non sono state trovate credenziali corrispondenti
Causa

La credenziale necessaria per la richiesta non è stata trovata. Le credenziali necessarie per la richiesta non sono disponibili nella cache delle credenziali.

Soluzione

Distruggere i ticket con kdestroy e crearne di nuovi con kinit.

Messaggio di errore

Numero di classi di caratteri non valido
Causa

La password inserita per il nome principale non contiene un numero sufficiente di classi in base ai criteri associati al nome principale.

Soluzione

Inserire una password con il numero minimo di classi richieste dai criteri applicabili.

Messaggio di errore

nuovo tentativo di des_read; il conteggio ha superato valore
Causa

Si è verificato più volte lo stesso errore durante la lettura dei dati.

Soluzione

Cercare di identificare altri possibili problemi del sistema esaminando altri messaggi di syslog.

Messaggio di errore

Operazione di I/O nella cache delle credenziali non riuscita XXX
Causa

Kerberos ha avuto un problema di scrittura nella cache delle credenziali del sistema (/tmp/krb5cc_uid).

Soluzione

Controllare che la cache delle credenziali non sia stata rimossa e che sul dispositivo vi sia spazio sufficiente usando il comando df.

Messaggio di errore

PAM-KRB5: Autenticazione Kerberos V5 non riuscita: la password non è corretta
Causa

La password UNIX e la password Kerberos dell'utente sono differenti. La maggior parte dei comandi non basati su Kerberos, come login, vengono configurati attraverso il modulo PAM per autenticarsi automaticamente con Kerberos usando la stessa password specificata come password UNIX. Se le due password sono differenti, l'autenticazione Kerberos non può essere eseguita.

Soluzione

Inserire la password per Kerberos alla richiesta del sistema.

Messaggio di errore

Per accedere a questo host occorre usare un altro meccanismo di autenticazione
Causa

L'autenticazione non è riuscita.

Soluzione

Verificare che il client stia usando Kerberos V5 per l'autenticazione.

Messaggio di errore

Raggiunta la fine della cache delle credenziali
Causa

Si è verificato un errore nella lettura della cache delle credenziali (/tmp/krb5cc_uid).

Soluzione

Verificare che la cache delle credenziali sia leggibile e che contenga dati.

Messaggio di errore

Rilevato un troncamento nel file di input
Causa

Il file di archiviazione del database utilizzato nell'operazione non è completo.

Soluzione

Ricreare il file di archiviazione o usare un file di archiviazione differente.

Messaggio di errore

Si sta utilizzando un vecchio client Kerberos5 senza il supporto dei checksum;
sono autorizzati solo client più recenti.
Causa

L'autenticazione con checksum non è stata negoziata con il client. È possibile che il client utilizzi un vecchio protocollo Kerberos V5 che non supporta la connessione iniziale.

Soluzione

Verificare che il client utilizzi un protocollo Kerberos V5 che supporti la connessione iniziale.

Messaggio di errore

Ticket non ammesso per operazioni tra più settori
Causa

Il ticket inviato non era impostato correttamente per quanto riguarda la relazione tra i settori. È possibile che le relazioni di fiducia tra i settori non siano impostate correttamente.

Soluzione

Verificare che i settori utilizzati dispongano delle relazioni di fiducia corrette.

Messaggio di errore

Ticket scaduto
Causa

È possibile che il ticket sia scaduto.

Soluzione

Distruggere i ticket con kdestroy e creare nuovi ticket con kinit.

Messaggio di errore

Tipo di checksum inappropriato nel messaggio
Causa

Il messaggio conteneva un tipo di checksum non valido.

Soluzione

Controllare i tipi di checksum validi specificati nei file krb5.conf e kdc.conf.

Messaggio di errore

Tutti i sistemi di autenticazione sono disabilitati; connessione rifiutata
Causa

Questa versione di rlogind non supporta nessun meccanismo di autenticazione.

Soluzione

Richiamare rlogind con l'opzione -k. Questa dovrebbe essere l'impostazione predefinita specificata nel file inetd.conf.

Messaggio di errore

Voce della tabella di chiavi non trovata
Causa

La tabella di chiavi del server di applicazioni di rete non contiene una voce per il nome principale del servizio.

Soluzione

Aggiungere il nome principale appropriato per il servizio alla tabella di chiavi del server, in modo che possa fornire il servizio basato su Kerberos.