test

Sun Enterprise Authentication Mechanism Handbuch

SEAM-Fehlermeldungen

Dieser Abschnitt bietet Informationen über SEAM-Fehlermeldungen einschließlich Angabe der Gründe für den jeweiligen Fehler und Möglichkeiten seiner Behebung.

Fehlermeldungen vom SEAM-Verwaltungstool

Fehlermeldung

Kann nicht die Liste der Hauptbenutzer oder Richtlinien anzeigen; verwenden Sie das Namenfeld.
Ursache

Der admin-Hauptbenutzername, mit dem Sie sich angemeldet haben, hat nicht das Listenprivileg (l) in der Kerberos ACL-Datei (kadm5.acl); daher können Sie die Hauptbenutzer- oder die Richtlinienliste nicht anzeigen.

Lösung

Sie müssen die Hauptbenutzer- und Richtliniennamen im Namenfeld eingeben, um mit ihnen zu arbeiten, oder melden Sie sich als Hauptbenutzer an, der die entsprechenden Rechte hat.

Fehlermeldung

JNI: Erstellung von Java-Array fehlsgeschlagen 
JNI: Abfrage für Java-Klasse fehlgeschlagen 
JNI: Abfrage für Java-Feld fehlgeschlagen 
JNI: Abfrage für Java-Methode fehlgeschlagen 
JNI: Abfrage für Java-Objekt fehlgeschlagen 
JNI: Abfrage für Java-Objektfeld fehlgeschlagen 
JNI: Zugriff auf Java-Zeichenfolge fehlgeschlagen 
JNI: Erstellung von Java-Zeichenfolge fehlgeschlagen
Ursache

Es gibt ein schwerwiegendes Problem an der Schnittstelle Java Native Interface (JNI), die vom SEAM-Verwaltungs-Tool (gkadmin ) verwendet wird.

Lösung

Beenden Sie gkadmin und starten Sie das Programm neu; wenn das Problem weiter besteht, melden Sie das bitte als Fehler.

Allgemeine SEAM-Fehlermeldungen

Dieser Abschnitt bietet eine Liste der allgemeineren Fehlermeldungen von SEAM-Befehlen, SEAM-Daemons, vom PAM-Framework, der GSS-Schnittstelle und der Kerberos-Bibliothek.

Fehlermeldung

major_error  minor_error gssapi-Fehler beim Import eines Namens
Ursache

Ein Fehler ist beim Importieren eines Service-Namens aufgetreten.

Lösung

Stellen Sie sicher, daß der Service-Hauptbenutzer host oder ftp in der Schlüsseltabellendatei eingetragen ist.

Fehlermeldung

Alle Authentisierungssysteme deaktiviert; Verbindung abgelehnt
Ursache

Diese Version von rlogind unterstützt keinen Authentisierungsmechanismus.

Lösung

Stellen Sie sicher, daß rlogind mit der Option -k aufgerufen wird. Das sollte sogar die Standardeinstellung in der Datei inetd.conf sein.

Fehlermeldung

Ein anderer Authentisierungsmechanismus muß für den Zugriff auf diesen Host verwendet werden.
Ursache

Authentisierung konnte nicht durchgeführt werden.

Lösung

Stellen Sie sicher, daß der Client zur Authentisierung Kerberos V5 verwendet.

Fehlermeldung

Authentisierungsverhandlung fehlgeschlagen; für Verschlüsselung erforderlich. Auf Wiedersehen.
Ursache

Authentisierung konnte nicht mit dem Server verhandelt werden.

Lösung

Starten Sie die Authentisierungsfehlersuche durch Aufruf des Befehls telnet mit toggle authdebug, und schauen Sie die Meldungen der Fehlersuche nach weiteren Hinweisen durch. Stellen Sie auch sicher, daß Sie gültige Berechtigungsnachweise haben.

Fehlermeldung

Fehlerhafter Hostname für admin-Server (krb5) beim Initialisieren der kadmin-Schnittstelle
Ursache

Ein ungültiger Hostname ist für den admin-Server (Master-KDC) in der Datei krb5.conf konfiguriert.

Lösung

Vergewissern Sie sich, daß der richtige Hostname für den admin-Server (Master-KDC) in der Datei krb5.conf angegeben ist.

Fehlermeldung

Konnte mit keinem KDC im gewünschten Bereich in Verbindung treten
Ursache

Kein KDC hat im gewünschten Bereich geantwortet.

Lösung

Stellen Sie sicher, daß wenigstens ein KDC (entweder Master oder Slave) erreichbar ist, oder daß der Daemon krb5kdc auf den KDCs ausgeführt wird. Schauen Sie in der Datei /etc/krb5/krb5.conf nach der Liste der konfigurierten KDCs (kdc = kdc_name).

Fehlermeldung

Konnte Bereich für Host nicht ermitteln
Ursache

Kerberos kann den Bereichsnamen für den Host nicht ermitteln.

Lösung

Stellen Sie sicher, daß in der Kerberos-Konfigurationsdatei ( krb5.conf) ein Standard-Bereichsname existiert oder die Domain-Namenzuordnungen eingerichtet sind.

Fehlermeldung

Kann im Netzwerk nicht verschlüsselt schreiben
Ursache

Ein Problem ist bei der Verschlüsselung von Daten aufgetreten.

Lösung

Suchen Sie nach anderen möglichen Problemen im System. Untersuchen Sie andere syslog-Meldungen nach weiteren Hinweisen.

Fehlermeldung

Kann KDC nicht für gewünschten Bereich finden
Ursache

Kein KDC wurde im gewünschten Bereich gefunden.

Lösung

Stellen Sie sicher, daß die Kerberos-Konfigurationsdatei (krb5.conf) im Abschnitt Bereich ein KDC angibt.

Fehlermeldung

Kann nicht Bereich realm_name initialisieren.
Ursache

Das KDC könnte keine Vorsorgedatei haben.

Lösung

Stellen Sie sicher, daß das KDC eine Vorsorgedatei hat. Wenn nicht, erstellen Sie eine solche mit dem Befehl kdb5_util(1M) und versuchen Sie, krb5kdc noch einmal auszuführen (/etc/init.d/kdc).

Fehlermeldung

Kann für gewünschten Bereich kein KDC ermitteln
Ursache

Kerberos kann kein KDC für den Bereich ermitteln.

Lösung

Stellen Sie sicher, daß die Kerberos-Konfigurationsdatei (krb5.conf) im Abschnitt Bereich ein KDC angibt.

Fehlermeldung

Kann Paßwort nicht wiederverwenden
Ursache

Das eingegebene Paßwort ist von diesem Hauptbenutzer schon vorher benutzt worden.

Lösung

Wählen Sie ein Paßwort, das noch nicht vorher verwendet worden ist, jedenfalls keines der Paßwörter, die in der KDC-Datenbank für jeden Hauptbenutzer gespeichert werden (das wird von der Hauptbenutzer-Richtlinie erzwungen).

Fehlermeldung

Kann weitergeleitete Berechtigungsnachweise nicht abrufen
Ursache

Das Weiterleiten von Berechtigungsnachweisen könnte noch nicht eingerichtet worden sein.

Lösung

Stellen Sie sicher, daß der Hauptbenutzer weiterleitbare Berechtigungsnachweise hat.

Fehlermeldung

Kann Kerberos-Konfigurationsdatei nicht öffnen/finden
Ursache

Die Kerberos-Konfigurationsdatei (krb5.conf) stand nicht zur Verfügung.

Lösung

Vergewissern Sie sich, daß die Datei krb5.conf an der richtigen Stelle zur Verfügung steht und die entsprechenden Berechtigungen hat (sollte von root beschreibbar und für jeden anderen lesbar sein).

Fehlermeldung

Client hat nicht die erforderliche Prüfsumme angegeben; Verbindung abgelehnt.
Ursache

Authentisierung mit Prüfsumme wurde nicht mit dem Client verhandelt. Der Client könnte ein altes Kerberos V5-Protokoll verwenden, das keine Unterstützung beim Verbindungsaufbau bietet.

Lösung

Stellen Sie sicher, daß der Client ein Kerberos V5-Protokoll verwendet, welches Unterstützung beim Verbindungsaufbau bietet.

Fehlermeldung

Bereiche für Client und Server stimmen bei Einleitung der Ticket-Anforderung nicht überein
Ursache

Eine fehlende Bereichsübereinstimmung zwischen Client und Server ist bei Einleitung der Ticket-Anforderung festgestellt worden.

Lösung

Vergewissern Sie sich, daß der Server, mit dem Sie kommunizieren, sich im selben Bereich wie der Client befindet, oder daß die Bereichskonfigurationen korrekt sind.

Fehlermeldung

Client oder Server hat einen Nullschlüssel
Ursache

Der Hauptbenutzer hat einen Nullschlüssel.

Lösung

Ändern Sie mit dem Befehl cpw aus kadmin(1M) den Hauptbenutzer so ab, daß er keinen Nullschlüssel hat.

Fehlermeldung

Verbindungsfehler bei Server während der Initialisierung der kadmin-Schnittstelle
Ursache

Beim als Admin-Server (Master-KDC) angegebenen Host wurde kadmind nicht ausgeführt.

Lösung

Vergewissern Sie sich, daß Sie den richtigen Hostnamen als Master-KDC angegeben haben. Wenn Sie den richtigen Hostnamen angegeben haben, dann stellen Sie sicher, daß kadmind auf dem von Ihnen angegebenen Master-KDC ausgeführt wird.

Fehlermeldung

Konfigurationsfehler: Das Anfordern von Prüfsummen bei -c steht nicht im Einklang mit dem Zulassen 
  einer Kerberos V5-Verbindung.
Ursache

Authentisierung mit Prüfsumme wurde nicht mit dem Client verhandelt. Der Client könnte ein altes Kerberos V5-Protokoll verwenden, das keine Unterstützung beim Verbindungsaufbau bietet.

Lösung

Stellen Sie sicher, daß der Client ein Kerberos V5-Protokoll verwendet, welches Unterstützung beim Verbindungsaufbau bietet.

Fehlermeldung

Falsche Berechtigung für Cache-Datei der Berechtigungsnachweise
Ursache

Sie haben nicht die passenden Lese- oder Schreibrechte für die Cache-Datei (/tmp/krb5cc_ uid).

Lösung

Stellen Sie sicher, daß Sie Lese- und Schreibrechte für den Berechtigungsnachweis-Cache haben.

Fehlermeldung

E/A-Operation auf Berechtigungsnachweis-Cache XXX fehlgeschlagen
Ursache

Kerberos hatte beim Schreiben auf Berechtigungsnachweis-Cache (/tmp/krb5cc_uid) des Systems ein Problem.

Lösung

Vergewissern Sie sich mithilfe des Befehls df, daß der Berechtigungsnachweis-Cache nicht entfernt wurde, und daß freier Speicherplatz auf dem Gerät vorhanden ist.

Fehlermeldung

Integritätsprüfung für Entschlüsselung fehlgeschlagen
Ursache

Sie könnten ein ungültiges Ticket haben.

Lösung

  1. Stellen Sie sicher, daß Ihre Berechtigungsnachweise gültig sind. Vernichten Sie Ihre Tickets mit kdestroy und erstellen Sie mit kinit neue Tickets.

  2. Vergewissern Sie sich, daß der Zielhost eine Schlüsseltabelle mit der richtigen Version des Service-Schlüssels hat. Zeigen Sie mithilfe von kadmin(1M) die Schlüsselversionsnummer des Service-Hauptbenutzers (zum Beispiel host/ FQDN_hostname) in der Kerberos Datenbank an, und rufen Sie klist - k auf dem Zielhost auf, um zu prüfen, ob dieser dieselbe Schlüsselversionsnummer hat.

Fehlermeldung

Wiederholungszähler für des_read überschritten
Ursache

Beim Lesen von Daten ist ein Fehler wiederholt aufgetreten.

Lösung

Suchen Sie nach anderen möglichen Problemen im System. Untersuchen Sie andere syslog-Meldungen nach weiteren Hinweisen.

Fehlermeldung

df: kann nicht statvfs für dateisystem ausführen: ungültiges Argument
Ursache

Der Befehl df kann nicht auf das mit Kerberos ausgestattete und zur Zeit eingehängte NFS-Dateisystem zugreifen, um seinen Bericht zu generieren, weil Sie nicht mehr die entsprechenden root-Berechtigungsnachweise haben. Wenn Sie Ihre Berechtigungsnachweise für ein eingehängtes, mit Kerberos ausgestattetes Dateisystem vernichten, wird das Dateisystem nicht automatisch ausgehängt.

Lösung

Sie müssen neue root-Berechtigungsnachweise erstellen, um auf des mit Kerberos ausgestattete Dateisystem zuzugreifen. Wenn Sie keinen Zugriff auf das mit Kerberos ausgestattete Dateisystem mehr benötigen, hängen Sie das Dateisystem aus.

Fehlermeldung

Verschlüsselung konnte nicht aktiviert werden. Auf Wiedersehen.
Ursache

Verschlüsselung konnte nicht mit dem Server verhandelt werden.

Lösung

Starten Sie die Authentisierungsfehlersuche durch Aufruf des Befehls telnet mit toggle encdebug, und schauen Sie die Meldungen der Fehlersuche nach weiteren Hinweisen durch.

Fehlermeldung

Verschlüsselung wurde nicht erfolgreich verhandelt. Auf Wiedersehen.
Ursache

Verschlüsselung konnte nicht verhandelt werden.

Lösung

Suchen Sie nach Fehlermeldungen in der KDC-Protokolldatei.

Fehlermeldung

Endes des Berechtigungsnachweis-Cache erreicht
Ursache

Ein Fehler ist beim Lesen des Berechtigungsnachweis-Cache (/tmp/krb5cc_uid) aufgetreten.

Lösung

Stellen Sie sicher, daß der Berechtigungsnachweis-Cache gelesen werden kann und Daten enthält.

Fehlermeldung

Berechtigungsnachweis-Cache konnte nicht abgerufen werden
Ursache

Bei der Initialisierung von kadmin ist ein Fehler aufgetreten, als kadmin versucht hat, die Berechtigungsnachweise für den admin-Hauptbenutzer abzurufen.

Lösung

Vergewissern Sie sich, daß Sie bei Ausführung von kadmin den richtigen Hauptbenutzer bzw. das richtige Paßwort verwendet haben.

Fehlermeldung

Feld ist für diese Implementierung zu lang
Ursache

Die Nachricht, die von einer mit Kerberos ausgestatteten Anwendung gesendet wurde, war zu lang. Die maximale Nachrichtenlänge, die von Kerberos bearbeitet werden kann, beträgt 65535 Byte. Außerdem gibt es Einschränkungen bei einzelnen Feldern innerhalb einer von Kerberos gesendeten Protokollnachricht.

Lösung

Stellen Sie sicher, daß die mit Kerberos ausgestatteten Anwendungen Nachrichten mit gültigen Längen senden.

Fehlermeldung

GSS-API-Fehler (oder bei Kerberos)
Ursache

Dies ist eine allgemeine Fehlermeldung der GSS-API oder von Kerberos, die durch mehrere unterschiedliche Probleme verursacht werden kann.

Lösung

Schauen Sie sich die Datei /etc/krb5/kdc.log an, um die speziellere GSS-API-Fehlermeldung zu finden, die beim Auftreten dieses Fehlers protokolliert wurde.

Fehlermeldung

Hostname kann nicht kanonisiert werden
Ursache

Kerberos kann den Hostnamen nicht vollständig qualifizieren.

Lösung

Vergewissern Sie sich, daß der Hostname in DNS enthalten ist, und daß die Zuordnungen Hostname:Adresse und Adress:Hostname konsistent sind.

Fehlermeldung

Ungültiges bereichsübergreifendes Ticket
Ursache

Das gesendete Ticket hatte nicht die korrekten bereichsübergreifenden Angaben. Die Bereiche könnten nicht die richtigen Vertrauensbeziehungen zueinander eingerichtet haben.

Lösung

Vergewissern Sie sich, daß die Bereiche die richtigen Vertrauensbeziehungen zueinander haben.

Fehlermeldung

Falsches Format der Kerberos-Konfigurationsdatei
Ursache

Die Kerberos-Konfigurationsdatei (krb5.conf) hat ungültige Einträge.

Lösung

Stellen Sie sicher, daß auf alle Relationen in der Datei krb5.conf ein Gleichheitszeichen (=) und ein Wert folgt, und überprüfen Sie, daß jeder Unterabschnitt paarweise eckige Klammern enthält.

Fehlermeldung

Unpassender Prüfsummentyp in Nachricht
Ursache

Die Nachricht enthielt einen ungültigen Prüfsummentyp.

Lösung

Prüfen Sie, welche gültigen Prüfsummentypen in den Dateien krb5.conf und kdc.conf angegeben sind.

Fehlermeldung

Falsche Netzwerkadresse
Ursache

Es gab eine fehlende Übereinstimmung bei der Netzwerkadresse. Die Netzwerkadresse im weiterzuleitenden Ticket unterschied sich von der Netzwerkadresse, an der das Ticket verarbeitet wurde. Das kann beim Weiterleiten von Tickets vorkommen.

Lösung

Vergewissern Sie sich, daß die Netzwerkadressen korrekt sind; vernichten Sie Ihre Tickets mit kdestroy, und erstellen Sie neue Tickets mit kinit.

Fehlermeldung

Ungültiges Flag für Dateisperrmodus
Ursache

Ein interner Kerberos-Fehler ist aufgetreten.

Lösung

Melden Sie dies bitte als Fehler.

Fehlermeldung

Ungültiger Nachrichtentyp für Verschlüsselung angegeben
Ursache

Kerberos konnte den Typ der Nachricht, die von der mit Kerberos ausgestatteten Anwendung gesendet wurde, nicht erkennen.

Lösung

Wenn Sie eine mit Kerberos ausgestattete Anwendung verwenden, die an Ihrem Standort selbst oder von einem Hersteller entwickelt wurde, stellen Sie sicher, daß diese Anwendung Kerberos richtig verwendet.

Fehlermeldung

Ungültige Anzahl von Zeichenklassen
Ursache

Das von Ihnen eingegebene Paßwort für den Hauptbenutzer enthält nicht so viele Paßwortklassen, wie durch die Hauptbenutzer-Richtlinie erzwungen.

Lösung

Vergewissern Sie sich, daß Sie ein Paßwort mit der Mindestanzahl von Paßwortklassen eingeben, die von der Richtlinie verlangt wird.

Fehlermeldung

KADM err: Speicherreservierungsfehler
Ursache

Es gibt zu wenig Hauptspeicher, um kadmin auszuführen.

Lösung

Geben Sie Hauptspeicher frei und versuchen Sie noch einmal, kadmin auszuführen.

Fehlermeldung

KDC kann angeforderte Option nicht erfüllen
Ursache

Das KDC hat die angeforderte Option nicht zugelassen. Das Problem lag möglicherweise daran, daß Nachdatieren oder weiterleitbare Optionen angefordert wurden, und das KDC hat das nicht zugelassen. Ein anderes Problem könnte sein, daß Sie die Verlängerung eines TGT angefordert haben, Sie jedoch kein verlängerbares TGT besitzen.

Lösung

Finden Sie heraus, ob Sie eine Option anfordern, die das KDC nicht erlaubt, oder ob Sie etwas anfordern, was Sie nicht besitzen.

Fehlermeldung

KDC-Richtlinie weist Anforderung zurück
Ursache

Die KDC-Richtlinie hat die Anforderung nicht zugelassen. Zum Beispiel enthielt die Anforderung an das KDC keine IP-Adresse, oder es wurde Weiterleitung angefordert, doch das KDC hat es nicht zugelassen.

Lösung

Vergewissern Sie sich, daß Sie kinit mit den richtigen Optionen verwenden. Falls nötig, ändern Sie die dem Hauptbenutzer zugewiesene Richtlinie, oder ändern Sie die Attribute des Hauptbenutzers, um die Anforderung zu erlauben. Sie können mithilfe von kadmin(1M) die Richtlinie oder den Hauptbenutzer ändern.

Fehlermeldung

KDC-Antwort entspricht nicht den Erwartungen
Ursache

Die Antwort des KDC enthielt nicht den erwarteten Hauptbenutzernamen, oder andere Werte waren in der Antwort falsch.

Lösung

Vergewissern Sie sich, daß das KDC, mit dem Sie kommunizieren, dem Entwurf RFC1510 entspricht, daß die von Ihnen gesendete Anforderung eine Kerberos V5-Anforderung ist, und daß das KDC zur Verfügung steht.

Fehlermeldung

Kerberos V5 weist die Authentisierung zurück
Ursache

Authentisierung konnte nicht mit dem Server verhandelt werden.

Lösung

Starten Sie die Authentisierungsfehlersuche durch Aufruf des Befehls telnet mit toggle authdebug, und schauen Sie die Meldungen der Fehlersuche nach weiteren Hinweisen durch. Stellen Sie auch sicher, daß Sie gültige Berechtigungsnachweise haben.

Fehlermeldung

Schlüsseltabelleneintrag nicht gefunden
Ursache

Es gibt keinen Eintrag für den Service-Hauptbenutzer in der Schlüsseltabelle des Anwendungsservers im Netzwerk.

Lösung

Fügen Sie den entsprechenden Service-Hauptbenutzer zur Schlüsseltabelle des Servers hinzu, damit dieser den Kerberos-Dienst zur Verfügung stellen kann.

Fehlermeldung

Schlüssel-Versionsnummer für Hauptbenutzer in Schlüsseltabelle ist falsch
Ursache

Die Schlüsselversion eines Hauptbenutzers ist in der Schlüsseltabelle und in der Kerberos-Datenbank unterschiedlich. Entweder ist ein Service geändert worden, oder es könnte sein, daß Sie ein altes Service-Ticket verwenden.

Lösung

Wenn ein Service-Schlüssel geändert worden ist (zum Beispiel über den Befehl kadmin), müssen Sie den neuen Schlüssel auslesen und in der Schlüsseltabelle des Hosts speichern, auf dem der Service ausgeführt wird.

Oder es könnte sein, daß Sie ein altes Service-Ticket verwenden, das einen älteren Schlüssel enthält. Führen Sie kdestroy aus und dann wieder kinit.

Fehlermeldung

login: load_modules: kann /usr/lib/security/pam_krb5.so.1 nicht öffnen.
Ursache

Entweder fehlt das Kerberos PAM-Modul, oder es ist keine gültige ausführbare Binärdatei.

Lösung

Vergewissern Sie sich, daß das Kerberos PAM-Modul sich in /usr/lib/security befindet, und daß es sich um eine gültige ausführbare Binärdatei handelt. Auch muß /etc/pam.conf den richtigen Pfad auf pam_krb5.so.1 enthalten.

Fehlermeldung

Schleife in krb5_get_in_tkt entdeckt
Ursache

Kerberos hat mehrere Versuche unternommen, die Anfangstickets zu erhalten, blieb jedoch erfolglos.

Lösung

Stellen Sie sicher, daß wenigstens ein KDC auf Authentisierungsanforderungen reagiert.

Fehlermeldung

Masterschlüssel stimmt nicht mit Datenbank überein
Ursache

Der geladene Datenbank-Abzug ist nicht aus einer Datenbank erstellt worden, die den Masterschlüssel enthielt, welcher in /var/krb5/.k5.BEREICH gespeichert ist.

Lösung

Stellen Sie sicher, daß der Masterschlüssel im geladenen Datenbank-Abzug mit dem in /var/krb5/.k5. BEREICH gespeicherten Masterschlüssel übereinstimmt.

Fehlermeldung

Übereinstimmender Berechtigungsnachweis nicht gefunden
Ursache

Der übereinstimmende Berechtigungsnachweis für die Anforderung wurde nicht gefunden. Ihre Anforderung verlangt Berechtigungsnachweise, die im Berechtigungsnachweis-Cache nicht vorhanden sind.

Lösung

Vernichten Sie Ihre Tickets mit kdestroy und erstellen Sie mit kinit neue Tickets.

Fehlermeldung

Nachricht nicht in Reihenfolge
Ursache

Nachrichten, die in vertraulicher Reihenfolge gesendet wurden, sind nicht in Reihenfolge angekommen. Einige Nachrichten könnten bei der Übertragung verlorengegangen sein.

Lösung

Initialisieren Sie die Kerberos-Sitzung noch einmal.

Fehlermeldung

Nachrichtenstrom geändert
Ursache

Die berechnete Prüfsumme und die von der Nachricht übermittelte Prüfsumme stimmen nicht überein. Die Nachricht könnte während der Übertragung verändert worden sein, was auf eine Schwachstelle in der Sicherheit hinweist.

Lösung

Stellen Sie sicher, daß die Nachrichten fehlerfrei über das Netzwerk gesendet werden. Da diese Meldung auch ein Hinweis auf mögliche Manipulationen an den Nachrichten während ihrer Übertragung sein kann, vernichten Sie mit dem Befehl kdestroy Ihre Tickets, und initialisieren Sie die von Ihnen verwendeten Kerberos-Services neu.

Allgemeine SEAM-Fehlermeldungen

Dieser Abschnitt bietet eine Liste der allgemeineren Fehlermeldungen von SEAM-Befehlen, SEAM-Daemons, vom PAM-Framework und der Kerberos-Bibliothek.

Fehlermeldung

Es sind keine Authentisierungsystem aktiviert; alle Verbindungen werden abgelehnt
Ursache

Diese Version von rlogind unterstützt keinen Authentisierungsmechanismus.

Lösung

Stellen Sie sicher, daß rlogind mit der Option -k aufgerufen wird. Das sollte sogar die Standardeinstellung in der Datei inetd.conf sein.

Fehlermeldung

Keine Cache-Datei für Berechtigungsnachweise gefunden
Ursache

Kerberos konnte nicht den Berechtigungsnachweis-Cache (/tmp/krb5cc_uid) finden.

Lösung

Stellen Sie sicher, daß die Berechtigungsnachweis-Datei existiert und gelesen werden kann. Wenn das nicht der Fall ist, versuchen Sie, den Befehl kinit noch einmal auszuführen.

Fehlermeldung

Operation erfordert "Privileg"-Privileg
Ursache

Der verwendete admin-Hauptbenutzer hat nicht die passende in der Datei kadm5.acl konfigurierte Berechtigung.

Lösung

Verwenden Sie einen Hauptbenutzer mit den passenden Rechten oder konfigurieren Sie den verwendeten Hauptbenutzer so, daß er die passenden Rechte hat, indem Sie die Datei kadm5.acl ändern. Gewöhnlich hat ein Hauptbenutzer mit "/admin" als Teil seines Namens die passenden Rechte.

Fehlermeldung

PAM-KRB5: Kerberos V5-Authentisierung fehlgeschlagen: Paßwort falsch
Ursache

Ihr UNIX-Paßwort und Ihr Kerberos-Paßwort sind unterschiedlich. Die meisten Befehle, die keine Verbindung zu Kerberos haben, wie zum Beispiel login, werden über PAM so eingerichtet, daß Sie sich automatisch bei Kerberos authentisieren, wobei sie dasselbe Paßwort verwenden, das Sie als UNIX-Paßwort angegeben haben. Wenn diese Paßwörter unterschiedlich sind, schlägt die Kerberos-Authentisierung fehl.

Lösung

Sie müssen Ihr Kerberos-Paßwort eingeben, wenn Sie dazu aufgefordert werden.

Fehlermeldung

Paßwort befindet sich im Paßwort-Wörterbuch
Ursache

Das von Ihnen eingegebene Paßwort ist bereits im verwendeten Paßwort-Wörterbuch enthalten. Das ist keine gute Wahl für ein Paßwort.

Lösung

Wählen Sie ein Paßwort, das eine Mischung von Paßwort-Klassen enthält.

Fehlermeldung

Berechtigung für Code von Wiedergabe-Cache verweigert.
Ursache

Der Wiedergabe-Cache des Systems konnte nicht geöffnet werden. Der Server ist vielleicht vorher unter einer anderen Benutzer-ID als Ihrer jetzigen Benutzer-ID ausgeführt worden.

Lösung

Vergewissern Sie sich, daß der Wiedergabe-Cache die passenden Berechtigungen hat. Der Wiedergabe-Cache ist auf dem Host, auf dem der mit Kerberos ausgestattete Server ausgeführt wird, gespeichert (/usr/tmp/rc_service_name). Anstatt die Berechtigungen für den aktuellen Wiedergabe-Cache zu ändern, können Sie den Cache auch entfernen, bevor Sie den mit Kerberos ausgestatteten Server unter einer anderen Benutzer-ID ausführen.

Fehlermeldung

Keine Übereinstimmung bei Protokollversion
Ursache

Höchstwahrscheinlich wurde ein Kerberos V4-Anforderung an das KDC gesendet. SEAM unterstützt nur das Kerberos V5-Protokoll.

Lösung

Stellen Sie sicher, daß Ihre Anwendungen das Kerberos V5-Protokoll verwenden.

Fehlermeldung

Anforderung ist eine Wiedergabe
Ursache

Die Anforderung ist bereits an diesen Server gesendet und von ihm bearbeitet worden. Die Tickets könnten gestohlen worden sein, und eine andere Person versucht, die Tickets wiederzuverwenden.

Lösung

Warten Sie einige Minuten, und geben Sie die Anforderung erneut aus.

Fehlermeldung

Angeforderter Hauptbenutzer und Ticket stimmen nicht überein
Ursache

Der Service-Hauptbenutzer, mit dem Sie sich verbinden, und Ihr Service-Ticket stimmen nicht überein.

Lösung

Stellen Sie sicher, daß DNS fehlerfrei funktioniert. Wenn Sie die Software eines anderen Herstellers verwenden, vergewissern Sie sich, daß in ihr die Hauptbenutzernamen richtig verwendet werden.

Fehlermeldung

Angeforderte Protokollversion nicht unterstützt
Ursache

Höchstwahrscheinlich wurde ein Kerberos V4-Anforderung an das KDC gesendet. SEAM unterstützt nur das Kerberos V5-Protokoll.

Lösung

Stellen Sie sicher, daß Ihre Anwendungen das Kerberos V5-Protokoll verwenden.

Fehlermeldung

Die erforderlichen Parameter bei Initialisierung der kadmin-Schnittstelle in krb5.conf nicht vorhanden
Ursache

Ein Parameter (wie zum Beispiel der admin_server-Parameter) fehlt in der Datei kr5.conf .

Lösung

Stellen Sie fest, welcher Parameter fehlt, und fügen Sie ihn in krb5.conf hinzu.

Fehlermeldung

Server hat es abgelehnt, die Verschlüsselung zu verhandeln. Auf Wiedersehen.
Ursache

Verschlüsselung konnte nicht mit dem Server verhandelt werden.

Lösung

Starten Sie die Authentisierungsfehlersuche durch Aufruf des Befehls telnet mit toggle encdebug, und schauen Sie die Meldungen der Fehlersuche nach weiteren Hinweisen durch.

Fehlermeldung

Authentisierung von Server zurückgewiesen (während des sendauth-Austausches)
Ursache

Der Server, mit dem Sie zu kommunizieren versuchen, hat die Authentisierung abgelehnt. Dieser Fehler tritt am häufigsten dann auf, wenn gerade eine Vervielfältigung der Kerberos-Datenbank durchgeführt wird. Einige allgemeine Gründe könnten Probleme mit der Datei kpropd.acl, mit DNS oder mit Schlüsseltabellen sein.

Lösung

Wenn Sie diesen Fehler bei der Ausführung anderer Anwendungen als kprop erhalten, untersuchen Sie, ob die Schlüsseltabelle des Servers in Ordnung ist.

Fehlermeldung

Das Ticket betrifft uns nicht

ODER

Ticket und Authentisierer stimmen nicht überein
Ursache

Ticket und Authentisierer haben nicht übereingestimmt. Der Hauptbenutzername in der Anforderung könnte mit dem Service-Hauptbenutzernamen nicht übereingestimmt haben, weil das Ticket mit einem FQDN-Namen des Hauptbenutzers gesendet wurde, während der Service keinen FQDN-Namen erwartet hatte und umgekehrt.

Lösung

Stellen Sie sicher, daß der von ihnen verwendete Service-Hauptbenutzer richtig ist.

Fehlermeldung

Ticket abgelaufen
Ursache

Ihre Ticket-Zeiten sind abgelaufen.

Lösung

Vernichten Sie Ihre Tickets mit kdestroy und erstellen Sie mit kinit neue Tickets.

Fehlermeldung

Ticket ist zur Nachdatierung nicht berechtigt
Ursache

Der Hauptbenutzer erlaubt nicht, daß seine Tickets nachdatiert werden.

Lösung

Ändern Sie mit kadmin(1M) den Hauptbenutzer, damit das Nachdatieren zugelassen wird.

Fehlermeldung

Ticket noch nicht gültig
Ursache

Das nachdatierte Ticket ist noch nicht gültig.

Lösung

Erstellen Sie neue Tickets mit dem richtigen Datum, oder warten Sie, bis die jetzigen Tickets gültig sind.

Fehlermeldung

Abgeschnittene Eingabedatei entdeckt.
Ursache

Die in der Operation verwendete Datenbank-Abzugdatei ist keine vollständige Abzugdatei.

Lösung

Erstellen Sie die Abzugdatei noch einmal, oder verwenden Sie eine andere Datenbank-Abzugdatei.

Fehlermeldung

Kann nicht mit Kerberos V5 verbinden und Verschlüsselungs-Service bereitstellen
 
ODER
 
Kann mit normalem rlogin keine Verbindung zu Kerberos V5 herstellen
Ursache

Eine Kerberos-Sitzung konnte auf dem Server nicht mit dem passenden Service (kshell für rsh und rcp, eklogin oder klogin für rlogin) eröffnet werden. Das könnte an ungültigen Berechtigungsnachweisen liegen.

Lösung

  1. Stellen Sie sicher, daß Ihre Berechtigungsnachweise gültig sind. Vernichten Sie Ihre Tickets mit kdestroy und erstellen Sie mit kinit neue Tickets.

  2. Vergewissern Sie sich, daß der Zielhost eine Schlüsseltabelle mit der richtigen Version des Service-Schlüssels hat. Zeigen Sie mithilfe von kadmin(1M) die Schlüsselversionsnummer des Service-Hauptbenutzers (zum Beispiel host/FQDN_hostname) in der Kerberos Datenbank an, und rufen Sie klist - k auf dem Zielhost auf, um zu prüfen, ob dieser dieselbe Schlüsselversionsnummer hat.

  3. Vergewissern Sie sich, daß es für die Services ( klogin, eklogin und kshell) in der Datei /etc/inetd.conf auf dem Zielhost Einträge gibt.

Fehlermeldung

Benutzer kann nicht sicher authentisiert werden ... Abbruch
Ursache

Authentisierung konnte nicht mit dem Server verhandelt werden.

Lösung

Starten Sie die Authentisierungsfehlersuche durch Aufruf des Befehls telnet mit toggle authdebug, und schauen Sie die Meldungen der Fehlersuche nach weiteren Hinweisen durch. Stellen Sie auch sicher, daß Sie gültige Berechtigungsnachweise haben.

Fehlermeldung

Falscher Hauptbenutzer in Anforderung
Ursache

Es gab einen ungültigen Hauptbenutzernamen im Ticket. Das kann ein DNS- oder FQDN-Problem sein.

Lösung

Stellen Sie sicher, daß der Service-Hauptbenutzer mit dem Hauptbenutzer im Ticket übereinstimmt.

Fehlermeldung

Sie verwenden einen alten Kerberos5-Client ohne Prüfsummen-Unterstützung;
nur neuere Clients sind berechtigt.
Ursache

Authentisierung mit Prüfsumme wurde nicht mit dem Client verhandelt. Der Client könnte ein altes Kerberos V5-Protokoll verwenden, das keine Unterstützung beim Verbindungsaufbau bietet.

Lösung

Stellen Sie sicher, daß der Client ein Kerberos V5-Protokoll verwendet, welches Unterstützung beim Verbindungsaufbau bietet.