test

Manuale di Sun Enterprise Authentication Mechanism

Messaggi di errore comuni di SEAM (A-K)

Questa sezione contiene, in ordine alfabetico (A-K), i messaggi di errore più comuni relativi ai comandi SEAM, ai daemon SEAM, al framework PAM, all'interfaccia GSS e alla libreria di Kerberos.

Messaggio di errore

erore_primario errore_secondario gssapi error importing name
Causa

Si è verificato un errore durante l'importazione del nome di un servizio.

Soluzione

Verificare che il nome principale del servizio host o ftp sia incluso nella tabella di chiavi dell'host.

Messaggio di errore

Autorizzazione negata nel codice della cache di ripetizione
Causa

Non è stato possibile aprire la cache di ripetizione del sistema. È possibile che il server sia stato avviato la prima volta con un ID utente differente da quello corrente dell'utente.

Soluzione

Verificare che la cache di ripetizione possieda le autorizzazioni appropriate. La cache di ripetizione è memorizzata nell'host su cui è in esecuzione l'applicazione server basata su Kerberos (/usr/tmp/rc_nome_servizio). Invece di cambiare le autorizzazioni della cache di ripetizione corrente, è possibile rimuovere la cache prima di avviare il server basato su Kerberos con un ID utente differente.

Messaggio di errore

Controllo di integrità nella decodifica non riuscito
Causa

L'utente potrebbe avere un ticket non valido.

Soluzione

  1. Verificare che le credenziali possedute siano valide. Distruggere i ticket con kdestroy e creare nuovi ticket con kinit.

  2. Verificare che sull'host di destinazione sia presente una tabella di chiavi con la versione corretta della chiave del servizio. Usare kadmin(1M) per visualizzare il numero di versione della chiave del nome principale del servizio (ad esempio, host/FQDN_nome_host) nel database di Kerberos e usare klist -k sull'host di destinazione per controllare che il numero di versione della chiave sia uguale.

Messaggio di errore

Destinatario del ticket errato
 
OPPURE
 
Il ticket e i dati di autenticazione non corrispondono
Causa

Il ticket e i dati di autenticazione non corrispondono. È possibile che il nome principale nella richiesta non corrispondesse al nome principale del servizio, poiché il ticket era stato inviato con un nome FQDN per il nome principale mentre il servizio si aspettava un nome non-FQDN o viceversa.

Soluzione

Verificare che il nome principale utilizzato per il servizio sia corretto.

Messaggio di errore

df: impossibile eseguire statvfs su filesystem: argomento errato
Causa

Il comando df non riesce ad accedere al file system NFS basato su Kerberos, che è correntemente attivato, per generare il suo report, poiché l'utente non ha più le credenziali di root appropriate. La distruzione delle credenziali per un file system basato su Kerberos non disattiva automaticamente il file system.

Soluzione

È necessario creare nuove credenziali di root per accedere al file system basato su Kerberos. Se non è più necessario accedere al file system, disattivarlo.

Messaggio di errore

È stato rilevato un loop all'interno di krb5_get_in_tkt
Causa

Kerberos ha cercato diverse volte di ottenere i ticket iniziali senza riuscirvi.

Soluzione

Verificare che almeno un KDC stia rispondendo alle richieste di autenticazione.

Messaggio di errore

È stato specificato un tipo di messaggio non valido per la codifica
Causa

Kerberos non ha riconosciuto il tipo di messaggio inviato dall'applicazione basata su Kerberos.

Soluzione

Se si utilizza un'applicazione basata su Kerberos sviluppata internamente o da un fornitore, verificare che utilizzi Kerberos in modo corretto.

Messaggio di errore

Errore della GSS-API (o di Kerberos)
Causa

Questo è un messaggio di errore generico relativo alla GSS-API o a Kerberos, che può essere causato da vari tipi di problemi.

Soluzione

Esaminare il file /etc/krb5/kdc.log per ricercare messaggi di errore più specifici relativi alla GSS-API registrati quando il problema si è verificato.

Messaggio di errore

Errore di comunicazione con il server durante l'inizializzazione dell'interfaccia kadmin
Causa

L'host specificato per il server di amministrazione (KDC master) non eseguiva kadmind.

Soluzione

Controllare di aver specificato il nome host corretto per il KDC master. Se è stato specificato il nome host corretto, verificare che kadmind sia in esecuzione sul KDC master specificato.

Messaggio di errore

Errore di configurazione: La richiesta di checksum 
con -c è incoerente con l'abilitazione delle connessioni Kerberos V4
Causa

L'autenticazione con checksum non è stata negoziata con il client. È possibile che il client utilizzi un vecchio protocollo Kerberos V5 che non supporta la connessione iniziale.

Soluzione

Verificare che il client utilizzi un protocollo Kerberos V5 che supporti la connessione iniziale.

Messaggio di errore

Errore KADM: Errore di allocazione della memoria
Causa

Non vi è memoria sufficiente per l'esecuzione di kadmin.

Soluzione

Liberare memoria e riprovare ad eseguire kadmin.

Messaggio di errore

Errore nel formato del file di configurazione Kerberos
Causa

Il file di configurazione di Kerberos (krb5.conf) contiene voci non valide.

Soluzione

Verificare che le relazioni specificate nel file krb5.conf siano seguite dal segno "=" e da un valore, e che in ogni sottosezione vi sia una coppia di parentesi.

Messaggio di errore

Errore nel nome host del server di amministrazione krb5 durante l'inizializzazione 
dell'interfaccia kadmin
Causa

Il nome host configurato per il server di amministrazione (KDC master) nel file krb5.conf non è valido.

Soluzione

Specificare il nome host corretto per il server di amministrazione (KDC master) nel file krb5.conf.

Messaggio di errore

Flag non valido per la modalità di blocco dei file
Causa

Si è verificato un errore interno di Kerberos.

Soluzione

Segnalare il problema.

Messaggio di errore

Flusso del messaggio modificato
Causa

Il checksum calcolato e il checksum del messaggio non corrispondono. È possibile che il messaggio sia stato modificato durante il transito, e che questo segnali una violazione della sicurezza.

Soluzione

Verificare che i messaggi vengano inviati attraverso la rete in modo corretto. Poiché questo messaggio può segnalare una possibile modifica dei messaggi durante la trasmissione, distruggere i ticket con il comando kdestroy e reinizializzare i servizi Kerberos in uso.

Messaggio di errore

I criteri del KDC rifiutano la richiesta
Causa

I criteri del KDC non permettono l'accettazione della richiesta. Ad esempio, è possibile che la richiesta al KDC non specifichi un indirizzo IP, o che sia stato richiesto un inoltro che il KDC non consente.

Soluzione

Usare kinit con le opzioni corrette. Se necessario, modificare i criteri associati al nome principale o modificare gli attributi del nome principale per rendere la richiesta accettabile. I criteri o il nome principale possono essere modificati con kadmin(1M).

Messaggio di errore

Il campo è troppo lungo per questa implementazione
Causa

Il messaggio inviato da un'applicazione basata su Kerberos era troppo lungo. La dimensione massima dei messaggi che possono essere gestiti da Kerberos è di 65535 byte. Vi sono inoltre limiti per i singoli campi all'interno dei messaggi di protocollo inviati da Kerberos.

Soluzione

Controllare che le applicazioni basate su Kerberos inviino messaggi con dimensioni valide.

Messaggio di errore

Il client non ha fornito il checksum richiesto - connessione rifiutata
Causa

L'autenticazione con checksum non è stata negoziata con il client. È possibile che il client utilizzi un vecchio protocollo Kerberos V5 che non supporta la connessione iniziale.

Soluzione

Verificare che il client utilizzi un protocollo Kerberos V5 che supporti la connessione iniziale.

Messaggio di errore

Il client o il server ha una chiave nulla
Causa

Il nome principale ha una chiave nulla.

Soluzione

Modificare il nome principale in modo che abbia una chiave non nulla usando il comando cpw di kadmin(1M).

Messaggio di errore

Il KDC non può eseguire l'opzione richiesta
Causa

Il KDC non può accettare l'opzione richiesta. Ad esempio, è possibile che siano state richieste opzioni postdatate o inoltrabili e che il KDC non le supporti. Oppure, è possibile che l'utente abbia richiesto il rinnovo di un TGT senza possedere un TGT rinnovabile.

Soluzione

Determinare se l'opzione richiesta non è consentita dal KDC o se non si possiedono i requisiti per la richiesta.

Messaggio di errore

Il nome host non può essere canonicizzato
Causa

Kerberos non può rendere pienamente qualificato il nome host.

Soluzione

Verificare che il nome host sia incluso nel DNS e che le mappature nomehost-indirizzo e indirizzo-nomehost siano coerenti.

Messaggio di errore

Il nome principale richiesto e il ticket non corrispondono
Causa

Il nome principale del servizio a cui si cerca di accedere e il ticket del servizio non corrispondono.

Soluzione

Verificare che il DNS funzioni correttamente. Se si sta usando un software di un altro produttore, verificare che utilizzi i nomi principali correttamente.

Messaggio di errore

Il server ha rifiutato di negoziare la cifratura. Arrivederci.
Causa

La cifratura non ha potuto essere negoziata con il server.

Soluzione

Avviare un operazione di debugging dell'autenticazione con il comando telnet toggle encdebug ed esaminare i messaggi risultanti.

Messaggio di errore

Il server ha rifiutato l'autenticazione (durante lo scambio sendauth)
Causa

Il server con cui si cerca di comunicare ha rifiutato l'autenticazione. In genere, questo errore si verifica durante la propagazione del database di Kerberos. La causa può essere un problema con il file kpropd.acl, il DNS o i file delle tabelle di chiavi.

Soluzione

Se si riceve questo errore quando si eseguono applicazioni diverse da kprop, determinare se la tabella di chiavi del server sia corretta.

Messaggio di errore

Il ticket non è ancora valido
Causa

Il ticket postdatato non è ancora valido.

Soluzione

Creare nuovi ticket con la data corretta o attendere che i ticket correnti diventino validi.

Messaggio di errore

Il ticket non può essere postdatato
Causa

Il nome principale non permette che i suoi ticket siano postdatati.

Soluzione

Modificare il nome principale con kadmin(1M) per abilitare la postdatazione.

Messaggio di errore

Impossibile abilitare la cifratura. Arrivederci.
Causa

La cifratura non ha potuto essere negoziata con il server.

Soluzione

Avviare un'operazione di debugging dell'autenticazione eseguendo il comando telnet toggle encdebug ed esaminare i messaggi risultanti.

Messaggio di errore

Impossibile aprire/trovare il file di configurazione Kerberos
Causa

Il file di configurazione di Kerberos (krb5.conf) non era disponibile.

Soluzione

Controllare che il file krb5.conf sia disponibile nella posizione corretta e che possieda le autorizzazioni appropriate (dovrebbe essere scrivibile da root e accessibile in lettura da tutti gli utenti).

Messaggio di errore

Impossibile autenticare con sicurezza l'utente... operazione interrotta
Causa

L'autenticazione non ha potuto essere negoziata con il server.

Soluzione

Avviare un'operazione di debugging dell'autenticazione con il comando telnet toggle authdebug ed esaminare i messaggi risultanti. Verificare anche di possedere credenziali valide.

Messaggio di errore

Impossibile codificare la scrittura sulla rete
Causa

Si è verificato un problema nella cifratura dei dati.

Soluzione

Cercare di identificare altri possibili problemi sul sistema esaminando altri messaggi di syslog.

Messaggio di errore

Impossibile connettersi con Kerberos V5 e fornire il servizio di cifratura
 
OPPURE
 
Impossibile connettersi con Kerberos V5, usando un normale rlogin
Causa

Non è stato possibile stabilire una sessione Kerberos con il servizio appropriato (kshell per rsh e rcp, eklogin o klogin per rlogin) sul server. Questo può essere dovuto a credenziali non valide.

Soluzione

  1. Verificare che le credenziali possedute siano valide. Distruggere i ticket con kdestroy e crearne di nuovi con kinit.

  2. Verificare che sull'host di destinazione sia presente una tabella di chiavi con la versione corretta della chiave del servizio. Usare kadmin(1M) per visualizzare il numero di versione della chiave del nome principale del servizio (ad esempio, host/FQDN_nomehost) nel database di Kerberos e usare klist -k sull'host di destinazione per controllare che il numero di versione della chiave sia uguale.

  3. Verificare che il file /etc/inetd.conf sull'host di destinazione contenga le voci per i servizi (klogin, eklogin e kshell).

Messaggio di errore

Impossibile contattare un KDC per il settore richiesto
Causa

Nessun KDC ha risposto nel settore specificato nella richiesta.

Soluzione

Verificare che sia raggiungibile almeno un KDC (master o slave) o che il daemon krb5kdc sia in esecuzione sui KDC. Cercare nel file /etc/krb5/krb5.conf l'elenco dei KDC che sono stati configurati (kdc = nome_kdc).

Messaggio di errore

Impossibile determinare il settore per l'host
Causa

Kerberos non riesce a determinare il nome del settore per l'host.

Soluzione

Verificare che il file di configurazione di Kerberos (krb5.conf) contenga un nome di settore predefinito o una mappa per i nomi di dominio.

Messaggio di errore

Impossibile inizializzare il settore nome_settore
Causa

Il KDC non possiede un file segreto.

Soluzione

Controllare se il KDC possieda un file segreto. In caso negativo, crearne uno usando il comando kdb5_util(1M) e provare a rieseguire krb5kdc (/etc/init.d/kdc).

Messaggio di errore

Impossibile ottenere la cache delle credenziali
Causa

Durante l'inizializzazione di kadmin, si è verificato un errore quando kadmin ha cercato di ottenere le credenziali per il nome principale admin.

Soluzione

Verificare di aver usato il nome principale corretto e/o la password corretta durante l'esecuzione di kadmin.

Messaggio di errore

Impossibile risolvere il KDC per il settore richiesto
Causa

Kerberos non riesce a identificare nessun KDC per il settore.

Soluzione

Controllare che il file di configurazione di Kerberos (krb5.conf) specifichi un KDC nella sezione realm.

Messaggio di errore

Impossibile riutilizzare la password
Causa

La password inserita era già stata usata in precedenza per lo stesso nome principale.

Soluzione

Scegliere una password che non sia stata usata in precedenza, o almeno che non faccia parte delle password conservate nel database KDC per ogni nome principale (i parametri di conservazione sono stabiliti dai criteri relativi al nome principale).

Messaggio di errore

Impossibile trovare le credenziali inoltrate
Causa

Non è stato possibile eseguire l'inoltro delle credenziali.

Soluzione

Verificare che il nome principale possieda credenziali inoltrabili.

Messaggio di errore

Impossibile trovare un KDC per il settore richiesto
Causa

Non è stato trovato nessun KDC nel settore specificato nella richiesta.

Soluzione

Verificare che il file di configurazione di Kerberos (krb5.conf) specifichi un KDC nella sezione realm.

Messaggio di errore

Incoerenza del settore client/server nella richiesta di ticket iniziale
Causa

Il settore del client non corrispondeva a quello del server nella richiesta iniziale del ticket.

Soluzione

Verificare che il server con cui si sta comunicando si trovi nello stesso settore del client o che le configurazioni dei settori siano corrette.

Messaggio di errore

Indirizzo di rete non corretto
Causa

È stata rilevata un'incoerenza nell'indirizzo di rete. L'indirizzo di rete specificato nel ticket inoltrato era diverso da quello in cui il ticket è stato elaborato. Questo problema si può verificare durante l'inoltro dei ticket.

Soluzione

Verificare che gli indirizzi di rete siano corretti; distruggere i ticket con kdestroy e crearne di nuovi con kinit.

Messaggio di errore

Kerberos V5 rifiuta l'autenticazione
Causa

L'autenticazione non ha potuto essere negoziata con il server.

Soluzione

Avviare un'operazione di debugging dell'autenticazione con il comando telnet toggle authdebug ed esaminare i messaggi risultanti. Verificare anche di possedere credenziali valide.