Vanliga felmeddelanden i SEAM

Det här avsnittet innehåller en lista över vanliga felmeddelanden för SEAM-kommandon, bakgrundsprogram för SEAM, PAM-ramverk, GSS-gränssnitt och Kerberos-biblioteket.

Felmeddelande

allvarligt_fel litet_fel gssapi-fel vid namnimport

Orsak till felet

Ett fel uppstod vid import av ett tjänstnamn.

Lösning

Kontrollera att namnen för tjänstprincipalen värd eller ftp finns i värdens nyckeltabellfil.

Felmeddelande

Alla verifieringssystem har deaktiverats; anslutningen avslås.

Orsak till felet

Den här versionen av rlogind stöder inte verifiering.

Lösning

Kontrollera att rlogind anropas med alternativet -k. Det här alternativet bör vara standard i filen inetd.conf.

Felmeddelande

Du måste använda en annan verifieringsmekanism för att ansluta till denna värd.

Orsak till felet

Det går inte att verifiera.

Lösning

Kontrollera att klienten använder Kerberos V5 för verifiering.

Felmeddelande

Verifieringstolkning misslyckades, detta krävs vid kryptering. Hejdå.

Orsak till felet

Det går inte att förhandla med servern om verifiering.

Lösning

Felsök verifieringen genom att använda telnet-kommandot toggle authdebug. Läs sedan felsökningens meddelanden för ytterligare information. Kontrollera även att du har tillräcklig behörighet.

Felmeddelande

Felaktigt värdnamn för krb5 admin-server vid start av kadmin-gränssnittet

Orsak till felet

Ett felaktigt värdnamn har angetts för administrationsservern (huvud-KDC) i filen krb5.conf file.

Lösning

Kontrollera att rätt värdnamn har angetts i filen krb5.conf för administrationsservern (huvud-KDC).

Felmeddelande

Det går inte att kontakta någon KDC för den begärda användarkategorin.

Orsak till felet

Ingen KDC svarade i den begärda användarkategorin.

Lösning

Kontrollera att minst en KDC (huvud-KDC eller underordnad KDC) går att nå och att bakgrundsprogrammet krb5kdc körs på KDC:erna. Listan över konfigurerade KDC:er (kdc = kdc_name) finns i /etc/krb5/krb5.conf.

Felmeddelande

Det går inte att bestämma användarkategorin för värden

Orsak till felet

Kerberos kan inte avgöra användarkategorinamnet för värden.

Lösning

Kontrollera att det finns ett standardnamn för användarkategorierna och att avbildningarna av domännamnen finns angivna i konfigurationsfilen för Kerberos (krb5.conf).

Felmeddelande

Det går inte att krypteringsskriva nätverket

Orsak till felet

Problemet uppstod när data skulle krypteras.

Lösning

Kontrollera om det beror på andra problem i systemet. Granska andra syslog-meddelanden för mer information.

Felmeddelande

Det går inte att hitta KDC för den begärda användarkategorin

Orsak till felet

Systemet hittade ingen KDC i den begärda användarkategorin.

Lösning

Kontrollera att konfigurationsfilen för Kerberos (krb5.conf) innehåller en KDC i avsnittet användarkategori.

Felmeddelande

det går inte att starta användarkategorin namn_på_användarkategorin

Orsak till felet

KDC:n kanske saknar en lagringsfil.

Lösning

Kontrollera att KDC:n har en lagringsfil. Om den inte har det skapar du en med kommandot kdb5_util(1M) och försöker sedan köra krb5kdc på nytt (/etc/init.d/kdc).

Felmeddelande

Det går inte att tolka KDC för den begärda användarkategorin

Orsak till felet

Kerberos kan inte hitta en KDC för användarkategorin.

Lösning

Kontrollera att konfigurationsfilen för Kerberos (krb5.conf) innehåller en KDC i avsnittet användarkategori.

Felmeddelande

Det går inte att återanvända lösenord

Orsak till felet

Lösenordet du angav har redan använts för den här principalen.

Lösning

Välj ett lösenord som inte har använts förut eller åtminstone ett som inte finns bland lösenorden i KDC-databasen för varje principal (styrs av policyn för principalen).

Felmeddelande

Det går inte att hämta vidarebefordrade referenser

Orsak till felet

Det går inte att vidarebefordra behörigheter.

Lösning

Kontrollera att principalen har behörigheter som går att vidarebefordra.

Felmeddelande

Det går inte att öppna/hitta konfigurationsfilen för Kerberos.

Orsak till felet

Konfigurationsfilen för Kerberos (krb5.conf) är inte tillgänglig.

Lösning

Kontrollera att filen krb5.conf finns på rätt plats och har rätt behörigheter (den bör kunna skrivas av root och läsas av alla andra).

Felmeddelande

Klienten levererade inte den nödvändiga kontrollsumman - anslutningen avslogs.

Orsak till felet

Verifiering med kontrollsumma förhandlades inte med klienten. Klienten kan använda ett gammalt Kerberos V5-protokoll som inte stöder ursprungligt anslutningsstöd.

Lösning

Se till att klienten använder ett Kerberos V5-protokoll som stöder ursprungligt anslutningsstöd.

Felmeddelande

Felmatchning av klient-/server-användarkategori i biljettens startförfrågan

Orsak till felet

Det uppstod en felmatchning av användarkategorin mellan klienten och servern i den ursprungliga biljettförfrågan.

Lösning

Kontrollera att servern du kommunicerar med finns i samma användarkategori som klienten och att konfigurationen för kategorierna är riktig.

Felmeddelande

Klienten eller servern har en nullnyckel

Orsak till felet

Principalen har en nyckel med nollvärde.

Lösning

Använd kommandot cpw i kadmin(1M) för att ändra principalen så att den inte längre har ett nollvärde.

Felmeddelande

Kommunikation med servern bröts vid start av kadmin-gränssnittet

Orsak till felet

Värden som angavs för administrationsservern (huvud-KDC) kör inte kadmind.

Lösning

Kontrollera att rätt värdnamn har angetts för huvud-KDC:n. Om du har angett rätt värdnamn kontrollerar du att kadmindkörs på angiven huvud-KDC.

Felmeddelande

Konfigurationsfel: Att kräva kontrollsummor med -c är inte konsekvent med tillåtelse av Kerberos V4-anslutningar.

Orsak till felet

Verifiering med kontrollsumma förhandlades inte med klienten. Klienten kan använda ett gammalt Kerberos V5-protokoll som inte stöder ursprungligt anslutningsstöd.

Lösning

Se till att klienten använder ett Kerberos V5-protokoll som stöder ursprungligt anslutningsstöd.

Felmeddelande

Felaktig behörighet för referenscachefilen

Orsak till felet

Du har inte rätt läs- eller skrivbehörigheter för referenscachen (/tmp/krb5cc_ användar-ID).

Lösning

Se till att du har läs- och skrivbehörigheter för referenscachen.

Felmeddelande

Referenscachens I/O-operation misslyckades XXX

Orsak till felet

Det uppstod ett problem när Kerberos skulle skriva till systemets referenscache (/tmp/krb5cc_användar-ID).

Lösning

Kontrollera så att inte referenscachen har tagits bort och att det finns tillräckligt med utrymme på enheten med kommandot df.

Felmeddelande

Integritetskontrollen vid avkryptering misslyckades

Orsak till felet

Du kan ha en ogiltig biljett.

Lösning

1. Kontrollera att dina behörigheter är giltiga. Förstör dina biljetter med kdestroy och skapa nya med kinit.

2. Kontrollera att målvärden har en nyckeltabell med rätt version av tjänstnyckeln. Använd kadmin(1M) för att granska versionsnumret för nyckeln för tjänstprincipalen (t ex värd/ FQDN_värdnamn) i Kerberos-databasen och använd klist -k på målvärden för att kontrollera om den har samma version av nyckeln.

Felmeddelande

Antalet des_read-försök överskreds.

Orsak till felet

Ett fel har uppstått upprepade gånger vid läsning av data.

Lösning

Kontrollera om det beror på andra problem i systemet. Granska andra syslog-meddelanden för mer information.

Felmeddelande

df: statvfs fungerar inte för filsystemet: Ogiltigt argument.

Orsak till felet

Kommandot df kommer inte åt det det för närvarande anslutna Kereberos-anpassade NFS-filsystemet för att skapa en rapport. Anledningen är att du inte längre har rätt behörighet för root. Kereberos-anpassade filsystem avmonteras inte automatiskt när du tar bort dina behörigheter helt och hållet.

Lösning

Du måste skapa nya behörigheter för root för att kunna komma åt det Kerberos-anpassade filsystemet. Om du inte längre behöver åtkomst till filsystemet avmonterar du det.

Felmeddelande

Kryptering kunde inte aktiveras. Hejdå.

Orsak till felet

Det går inte att förhandla med servern om kryptering.

Lösning

Felsök verifieringen genom att anropa telnet-kommandot toggle encdebug. Läs sedan felsökningens meddelanden för ytterligare information.

Felmeddelande

Krypteringen förhandlades inte korrekt. Hejdå.

Orsak till felet

Kryptering kunde inte förhandlas.

Lösning

Kontrollera om det finns några felmeddelanden i loggfilen för KDC.

Felmeddelande

Nådde slutet på referenscachen

Orsak till felet

Ett fel uppstod vid läsning av referenscachen (/tmp/krb5cc_användar-ID).

Lösning

Kontrollera att det går att läsa referenscachen och att den innehåller data.

Felmeddelande

Anskaffande av referenscache misslyckades.

Orsak till felet

Ett fel uppstod under initieringen av kadmin när kadmin försökte hämta referenser för principalen admin.

Lösning

Kontrollera att du använde rätt principal och/eller lösenord när du körde kadmin.

Felmeddelande

Fältet är för långt för denna implementering

Orsak till felet

Meddelandet som skickades av ett Kerberos-anpassat program var för långt. Kerberos kan bara hantera meddelanden som är maximalt 65 535 byte långa. Det finns dessutom begränsningar för enskilda fält i protokollmeddelanden som skickas av Kerberos.

Lösning

Kontrollera att det Kerberos-anpassade programmet skickar meddelanden av giltig storlek.

Felmeddelande

GSS-API-fel (eller Kerberos-fel)

Orsak till felet

Det här är ett allmänt felmeddelande för GSS-API eller Kerberos och det kan orsakas av flera olika problem.

Lösning

Sök i loggfilen /etc/krb5/kdc.log efter ett mer detaljerat felmeddelande för GSS-API som sparades när felet uppstod.

Felmeddelande

Värdnamn kan inte kanonikaliseras

Orsak till felet

Kerberos kan inte tolka värdnamnet fullständigt.

Lösning

Kontrollera att värdnamnet finns i DNS:en och att avbildningarna är konsekventa mellan värdnamn och adress, och tvärt om.

Felmeddelande

Otillåten biljett över användarkategorier

Orsak till felet

Den skickade biljetten innehåller inte rätt kopplingar mellan användarkategorier. Det är möjligt att förhållandet mellan användarkategorierna är felaktigt inställt.

Lösning

Se till att förhållandet mellan användarkategorierna är riktigt.

Felmeddelande

Felaktigt format på konfigurationsfilen för Kerberos

Orsak till felet

Konfigurationsfilen för Kerberos (krb5.conf) innehåller ogiltiga poster.

Lösning

Se till att alla relationer i filen krb5.conf följs av tecknet "=" och ett värde, och att alla underavdelningar omges av start- och slutklammerparentes.

Felmeddelande

Olämplig kontrollsummetyp i meddelandet

Orsak till felet

Meddelandet innehåller en ogiltig kontrollsummetyp.

Lösning

Kontrollera vilka giltiga kontrollsummetyper som finns angivna i filerna krb5.conf och kdc.conf.

Felmeddelande

Felaktig nätadress

Orsak till felet

Nätverksadressen matchar inte. Nätverksadressen i biljetten som vidarebefordrades skiljer sig från nätverksadressen där biljetten behandlades. Det här felet kan uppstå när biljetter vidarebefordras.

Lösning

Kontrollera att nätverksadresserna är riktiga, förstör biljetterna med kdestroy och skapa nya med kinit.

Felmeddelande

Ogiltig flagga för fillåsningsläget

Orsak till felet

Ett internt fel uppstod i Kerberos.

Lösning

Rapportera programfelet.

Felmeddelande

En ogiltig meddelandetyp har angetts för kodning

Orsak till felet

Kerberos kände inte igen meddelandetypen som skickades av det Kerberos-anpassade programmet.

Lösning

Om du använder ett Kerberos-anpassat program som har utvecklats internt eller av en annan tillverkare, ska du kontrollera att programmet använder Kerberos på rätt sätt.

Felmeddelande

Ogiltigt antal teckenklasser

Orsak till felet

Lösenordet du angav för principalen innehåller inte tillräckligt med lösenordsklasser, enligt principalens policy.

Lösning

Se till att ange ett lösenord med minst så många lösenordsklasser som krävs enligt policyn.

Felmeddelande

KADM-fel: Minnesallokeringen misslyckades

Orsak till felet

Det finns inte tillräckligt med minne för att kunna köra kadmin.

Lösning

Frigör minne och försök köra kadmin på nytt.

Felmeddelande

KDC kan inte bearbeta den begärda inställningen

Orsak till felet

KDC:n tillåter inte den begärda inställningen. En orsak kan vara att inställningar för efterdatering eller vidarebefordringsbara inställningar begärdes och att detta inte tilläts av KDC:n. En annan orsak kan vara att du har begärt att en TGT ska förnyas utan att ha en förnyelsebar TGT.

Lösning

Ta reda på om du begär en inställning som inte tillåts av KDC:n eller som du begär något som du inte har.

Felmeddelande

KDC-policyn avslår förfrågan

Orsak till felet

KDC-policyn avslog förfrågan. Förfrågan till KDC:n kanske inte innehöll någon IP-adress, eller så tillåter inte KDC:n vidarebefordran.

Lösning

Kontrollera att du använder kinit med rätt alternativ. Om det behövs ändrar du policyn för principalen eller attributen för principalen så att förfrågan medges. Du kan ändra policyn eller principalen med kadmin(1M).

Felmeddelande

KDC-svaret matchar inte väntat värde

Orsak till felet

KDC-svaret innehöll inte det förväntade principalnamnet eller så var andra värden i svaret felaktiga.

Lösning

Kontrollera att KDC:n du kommunicerar med följer RFC1510, att din förfrågan är en Kerberos V5-förfrågan, och att KDC:n är tillgänglig.

Felmeddelande

Kerberos V5 avslår verifiering

Orsak till felet

Det går inte att förhandla med servern om verifiering.

Lösning

Felsök verifieringen genom att anropa telnet-kommandot toggle authdebug. Läs sedan felsökningens meddelanden för ytterligare information. Kontrollera även att du har tillräcklig behörighet.

Felmeddelande

Nyckeltabellposten kunde inte hittas

Orsak till felet

Det finns ingen post för tjänstprincipalen i nätverksprogramserverns nyckeltabell.

Lösning

Lägg till rätt tjänstprincipal i serverns nyckeltabell så att den kan tillhandahålla den Kerberos-anpassade tjänsten.

Felmeddelande

Nyckelversionsnumret för principalen i nyckeltabellen är felaktigt

Orsak till felet

Nyckelversionen för en principal är olika i nyckeltabellen och i Kerberos-databasen. Antingen har en tjänsts nyckel ändrats eller så använder du en gammal tjänstbiljett.

Lösning

Om en tjänsts nyckel har ändrats (t ex med kadmin), måste du hämta den nya nyckeln och lagra den i värdens nyckeltabell där tjänsten körs.

En annan orsak kan vara att du använder en gammal tjänstbiljett som innehåller en gammal nyckel. Försök med att använda kdestroy och sedan använda kinit på nytt.

Felmeddelande

inloggning: ladda_moduler: det går inte att öppna modulen /usr/lib/security/pam_krb5.so.1

Orsak till felet

Antingen saknas PAM-modulen för Kerberos eller så är den inte en giltig körbar fil.

Lösning

Kontrollera att att PAM-modulen för Kerberos finns i katalogen /usr/lib/security och att den är en giltig körbar fil. Kontrollera även att /etc/pam.conf innehåller rätt sökväg till pam_krb5.so.1.

Felmeddelande

Slinga upptäckt i krb5_get_in_tkt

Orsak till felet

Kerberos försökte hämta startbiljetterna flera gånger utan att lyckas.

Lösning

Kontrollera att minst en KDC svarar på verifieringsförfrågningar.

Felmeddelande

Huvudnyckeln matchar inte databasen

Orsak till felet

Den hämtade databasdumpen skapades inte från en databas som innehåller huvudnyckeln. Huvudnyckeln finns i /var/krb5/.k5.ANVÄNDARKATEGORI.

Lösning

Kontrollera att huvudnyckeln i den hämtade databasdumpen matchar huvudnyckeln i /var/krb5/.k5. ANVÄNDARKATEGORI.

Felmeddelande

En matchande referens kan inte hittas

Orsak till felet

Matchande referens för förfrågan hittades inte. Din förfrågan kräver referenser som inte finns tillgängliga i referenscachen.

Lösning

Förstör dina biljetter med kdestroy och skapa nya med kinit.

Felmeddelande

Meddelandet är ur funktion

Orsak till felet

Meddelanden som skickades med kryptering privacy i sekventiell ordning kom fram i fel ordning. Vissa meddelanden kan ha gått förlorade vid överföringen.

Lösning

Du bör starta om Kerberos-sessionen.

Felmeddelande

Meddelandeströmmen har ändrats

Orsak till felet

Den beräknade kontrollsumman matchar inte kontrollsumman för meddelandet. Meddelandet kan ha ändrats under överföringen, vilket kan innebära att det finns en säkerhetsläcka.

Lösning

Kontrollera att meddelanden skickas på rätt sätt i nätverket. Eftersom det här meddelandet innebär att någon kan ha manipulerat meddelanden under tiden de har skickats bör du även förstöra dina biljetter med kdestroy och starta om de Kerberos-tjänster du använder.