Felsökning i SEAM

Det här avsnittet innehåller information om felsökning i SEAM.

Problem med formatet för filen krb5.conf

Om filen krb5.conf inte är formaterad på rätt sätt går det inte att använda kommandot telnet. Däremot kommer kommandona dtlogin och login att fungera, trots att filen krb5.conf har angivits som nödvändig för dessa kommandon. Om det här inträffar visas följande felmeddelande:

Fel vid start av krb5: Felaktigt format på konfigurationsfilen för Kerberos

Om det finns ett problem med formatet på filen krb5.conf är systemet sårbart ur säkerhetssynpunkt. Du bör åtgärda problemet innan du tillåter användning av några SEAM-funktioner.

Problem med överföring av Kerberos-databasen

Om det inte går att överföra Kerberos-databasen kan du försöka med /usr/krb5/bin/rlogin -x mellan den underordnade KDC:n och huvud-KDC:n, och tvärt om.

Om KDC:erna är inställda för begränsad åtkomst inaktiveras rlogin och kommandot inte går att använda för felsökning av det här problemet. Om du vill aktivera rlogin på en KDC måste du ta bort kommentarstecknen för posten eklogin i filen /etc/inetd.conf och starta om inetd, enligt följande:

# ps -eaf | grep inetd       visar process-ID för inetd
# kill -1 pid_för_inetd

När du är klar med felsökningen måste du återställa filen inetd.conf till dess ursprungsstatus och starta om inetd.

Om rlogin inte fungerar beror problemet troligen på nyckeltabellerna på KDC:erna. Om rlogin fungerar är det inte problem med nyckeltabellen eller namntjänsten, eftersom rlogin och överföringsprogrammet använder samma principal för värd/värdnamn. Om så är fallet ska du kontrollera att filen kpropd.acl är riktig.

Problem med att montera ett Kerberos-anpassat NFS-filsystem

• Om det inte går att montera ett Kerberos-anpassat NFS-filsystem ska du kontrollera att filen /var/tmp/rc_nfs finns på NFS-servern. Om filen inte tillhör root tar du bort den och försöker montera på nytt.

• Om du får problem med åtkomsten till ett Kerberos-anpassat NFS-filsystem ska du kontrollera att det finns en post för gssd i filen inetd.conf på ditt system och på NFS-servern.

• Om det visas ett felmeddelande om ogiltigt argument eller felaktig katalog när du försöker komma åt ett Kerberos-anpassat NFS-filsystem, kan det bero på att du inte använder ett fullständigt DNS-namn när du försöker montera filsystemet. Värden som monteras är inte densamma som värdnamnsdelen av tjänstprincipalen i serverns nyckeltabell.

  Det här kan även inträffa om servern har flera ethernet-gränssnitt och du har ställt in DNS:en för att använda ett schema för "namn per gränssnitt" i stället för "flera adressposter per värd". För SEAM bör du ställa in flera adressposter per värd enligt följande: [Ken Hornstein, "Kerberos FAQ," [http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html], senast ändrad 11 december 1998.] :

  min.värd.namn.  A       1.2.3.4
                  A       1.2.4.4 
                  A       1.2.5.4
  
  min-en0.värd.namn.       A       1.2.3.4 
  min-en1.värd.namn.       A       1.2.4.4 
  min-en2.värd.namn.       A       1.2.5.4  
  4.3.2.1         PTR     min.värd.namn. 
  4.4.2.1         PTR     min.värd.namn. 
  4.5.2.1         PTR     min.värd.namn.

I det här exemplet tillåter inställningen en referens till de olika gränssnitten och en enda tjänstprincipal i stället för tre i serverns nyckeltabell.

Problem med verifiering som root

Om verifieringen inte fungerar när du försöker bli superanvändare i systemet och du redan har lagt till root-principalen i värdens nyckeltabell, kan två olika fel ha uppstått. Kontrollera först att root-principalen i nyckeltabellen är angiven med fullständigt namn. Om den är det kontrollerar du i filen /etc/resolv.conf om systemet är riktigt inställt som DNS-klient.