test

Sun Enterprise Authentication Mechanism Handbuch

Allgemeine SEAM-Fehlermeldungen

Dieser Abschnitt bietet eine Liste der allgemeineren Fehlermeldungen von SEAM-Befehlen, SEAM-Daemons, vom PAM-Framework, der GSS-Schnittstelle und der Kerberos-Bibliothek.

Fehlermeldung

major_error  minor_error gssapi-Fehler beim Import eines Namens
Ursache

Ein Fehler ist beim Importieren eines Service-Namens aufgetreten.

Lösung

Stellen Sie sicher, daß der Service-Hauptbenutzer host oder ftp in der Schlüsseltabellendatei eingetragen ist.

Fehlermeldung

Alle Authentisierungssysteme deaktiviert; Verbindung abgelehnt
Ursache

Diese Version von rlogind unterstützt keinen Authentisierungsmechanismus.

Lösung

Stellen Sie sicher, daß rlogind mit der Option -k aufgerufen wird. Das sollte sogar die Standardeinstellung in der Datei inetd.conf sein.

Fehlermeldung

Ein anderer Authentisierungsmechanismus muß für den Zugriff auf diesen Host verwendet werden.
Ursache

Authentisierung konnte nicht durchgeführt werden.

Lösung

Stellen Sie sicher, daß der Client zur Authentisierung Kerberos V5 verwendet.

Fehlermeldung

Authentisierungsverhandlung fehlgeschlagen; für Verschlüsselung erforderlich. Auf Wiedersehen.
Ursache

Authentisierung konnte nicht mit dem Server verhandelt werden.

Lösung

Starten Sie die Authentisierungsfehlersuche durch Aufruf des Befehls telnet mit toggle authdebug, und schauen Sie die Meldungen der Fehlersuche nach weiteren Hinweisen durch. Stellen Sie auch sicher, daß Sie gültige Berechtigungsnachweise haben.

Fehlermeldung

Fehlerhafter Hostname für admin-Server (krb5) beim Initialisieren der kadmin-Schnittstelle
Ursache

Ein ungültiger Hostname ist für den admin-Server (Master-KDC) in der Datei krb5.conf konfiguriert.

Lösung

Vergewissern Sie sich, daß der richtige Hostname für den admin-Server (Master-KDC) in der Datei krb5.conf angegeben ist.

Fehlermeldung

Konnte mit keinem KDC im gewünschten Bereich in Verbindung treten
Ursache

Kein KDC hat im gewünschten Bereich geantwortet.

Lösung

Stellen Sie sicher, daß wenigstens ein KDC (entweder Master oder Slave) erreichbar ist, oder daß der Daemon krb5kdc auf den KDCs ausgeführt wird. Schauen Sie in der Datei /etc/krb5/krb5.conf nach der Liste der konfigurierten KDCs (kdc = kdc_name).

Fehlermeldung

Konnte Bereich für Host nicht ermitteln
Ursache

Kerberos kann den Bereichsnamen für den Host nicht ermitteln.

Lösung

Stellen Sie sicher, daß in der Kerberos-Konfigurationsdatei ( krb5.conf) ein Standard-Bereichsname existiert oder die Domain-Namenzuordnungen eingerichtet sind.

Fehlermeldung

Kann im Netzwerk nicht verschlüsselt schreiben
Ursache

Ein Problem ist bei der Verschlüsselung von Daten aufgetreten.

Lösung

Suchen Sie nach anderen möglichen Problemen im System. Untersuchen Sie andere syslog-Meldungen nach weiteren Hinweisen.

Fehlermeldung

Kann KDC nicht für gewünschten Bereich finden
Ursache

Kein KDC wurde im gewünschten Bereich gefunden.

Lösung

Stellen Sie sicher, daß die Kerberos-Konfigurationsdatei (krb5.conf) im Abschnitt Bereich ein KDC angibt.

Fehlermeldung

Kann nicht Bereich realm_name initialisieren.
Ursache

Das KDC könnte keine Vorsorgedatei haben.

Lösung

Stellen Sie sicher, daß das KDC eine Vorsorgedatei hat. Wenn nicht, erstellen Sie eine solche mit dem Befehl kdb5_util(1M) und versuchen Sie, krb5kdc noch einmal auszuführen (/etc/init.d/kdc).

Fehlermeldung

Kann für gewünschten Bereich kein KDC ermitteln
Ursache

Kerberos kann kein KDC für den Bereich ermitteln.

Lösung

Stellen Sie sicher, daß die Kerberos-Konfigurationsdatei (krb5.conf) im Abschnitt Bereich ein KDC angibt.

Fehlermeldung

Kann Paßwort nicht wiederverwenden
Ursache

Das eingegebene Paßwort ist von diesem Hauptbenutzer schon vorher benutzt worden.

Lösung

Wählen Sie ein Paßwort, das noch nicht vorher verwendet worden ist, jedenfalls keines der Paßwörter, die in der KDC-Datenbank für jeden Hauptbenutzer gespeichert werden (das wird von der Hauptbenutzer-Richtlinie erzwungen).

Fehlermeldung

Kann weitergeleitete Berechtigungsnachweise nicht abrufen
Ursache

Das Weiterleiten von Berechtigungsnachweisen könnte noch nicht eingerichtet worden sein.

Lösung

Stellen Sie sicher, daß der Hauptbenutzer weiterleitbare Berechtigungsnachweise hat.

Fehlermeldung

Kann Kerberos-Konfigurationsdatei nicht öffnen/finden
Ursache

Die Kerberos-Konfigurationsdatei (krb5.conf) stand nicht zur Verfügung.

Lösung

Vergewissern Sie sich, daß die Datei krb5.conf an der richtigen Stelle zur Verfügung steht und die entsprechenden Berechtigungen hat (sollte von root beschreibbar und für jeden anderen lesbar sein).

Fehlermeldung

Client hat nicht die erforderliche Prüfsumme angegeben; Verbindung abgelehnt.
Ursache

Authentisierung mit Prüfsumme wurde nicht mit dem Client verhandelt. Der Client könnte ein altes Kerberos V5-Protokoll verwenden, das keine Unterstützung beim Verbindungsaufbau bietet.

Lösung

Stellen Sie sicher, daß der Client ein Kerberos V5-Protokoll verwendet, welches Unterstützung beim Verbindungsaufbau bietet.

Fehlermeldung

Bereiche für Client und Server stimmen bei Einleitung der Ticket-Anforderung nicht überein
Ursache

Eine fehlende Bereichsübereinstimmung zwischen Client und Server ist bei Einleitung der Ticket-Anforderung festgestellt worden.

Lösung

Vergewissern Sie sich, daß der Server, mit dem Sie kommunizieren, sich im selben Bereich wie der Client befindet, oder daß die Bereichskonfigurationen korrekt sind.

Fehlermeldung

Client oder Server hat einen Nullschlüssel
Ursache

Der Hauptbenutzer hat einen Nullschlüssel.

Lösung

Ändern Sie mit dem Befehl cpw aus kadmin(1M) den Hauptbenutzer so ab, daß er keinen Nullschlüssel hat.

Fehlermeldung

Verbindungsfehler bei Server während der Initialisierung der kadmin-Schnittstelle
Ursache

Beim als Admin-Server (Master-KDC) angegebenen Host wurde kadmind nicht ausgeführt.

Lösung

Vergewissern Sie sich, daß Sie den richtigen Hostnamen als Master-KDC angegeben haben. Wenn Sie den richtigen Hostnamen angegeben haben, dann stellen Sie sicher, daß kadmind auf dem von Ihnen angegebenen Master-KDC ausgeführt wird.

Fehlermeldung

Konfigurationsfehler: Das Anfordern von Prüfsummen bei -c steht nicht im Einklang mit dem Zulassen 
  einer Kerberos V5-Verbindung.
Ursache

Authentisierung mit Prüfsumme wurde nicht mit dem Client verhandelt. Der Client könnte ein altes Kerberos V5-Protokoll verwenden, das keine Unterstützung beim Verbindungsaufbau bietet.

Lösung

Stellen Sie sicher, daß der Client ein Kerberos V5-Protokoll verwendet, welches Unterstützung beim Verbindungsaufbau bietet.

Fehlermeldung

Falsche Berechtigung für Cache-Datei der Berechtigungsnachweise
Ursache

Sie haben nicht die passenden Lese- oder Schreibrechte für die Cache-Datei (/tmp/krb5cc_ uid).

Lösung

Stellen Sie sicher, daß Sie Lese- und Schreibrechte für den Berechtigungsnachweis-Cache haben.

Fehlermeldung

E/A-Operation auf Berechtigungsnachweis-Cache XXX fehlgeschlagen
Ursache

Kerberos hatte beim Schreiben auf Berechtigungsnachweis-Cache (/tmp/krb5cc_uid) des Systems ein Problem.

Lösung

Vergewissern Sie sich mithilfe des Befehls df, daß der Berechtigungsnachweis-Cache nicht entfernt wurde, und daß freier Speicherplatz auf dem Gerät vorhanden ist.

Fehlermeldung

Integritätsprüfung für Entschlüsselung fehlgeschlagen
Ursache

Sie könnten ein ungültiges Ticket haben.

Lösung

  1. Stellen Sie sicher, daß Ihre Berechtigungsnachweise gültig sind. Vernichten Sie Ihre Tickets mit kdestroy und erstellen Sie mit kinit neue Tickets.

  2. Vergewissern Sie sich, daß der Zielhost eine Schlüsseltabelle mit der richtigen Version des Service-Schlüssels hat. Zeigen Sie mithilfe von kadmin(1M) die Schlüsselversionsnummer des Service-Hauptbenutzers (zum Beispiel host/ FQDN_hostname) in der Kerberos Datenbank an, und rufen Sie klist - k auf dem Zielhost auf, um zu prüfen, ob dieser dieselbe Schlüsselversionsnummer hat.

Fehlermeldung

Wiederholungszähler für des_read überschritten
Ursache

Beim Lesen von Daten ist ein Fehler wiederholt aufgetreten.

Lösung

Suchen Sie nach anderen möglichen Problemen im System. Untersuchen Sie andere syslog-Meldungen nach weiteren Hinweisen.

Fehlermeldung

df: kann nicht statvfs für dateisystem ausführen: ungültiges Argument
Ursache

Der Befehl df kann nicht auf das mit Kerberos ausgestattete und zur Zeit eingehängte NFS-Dateisystem zugreifen, um seinen Bericht zu generieren, weil Sie nicht mehr die entsprechenden root-Berechtigungsnachweise haben. Wenn Sie Ihre Berechtigungsnachweise für ein eingehängtes, mit Kerberos ausgestattetes Dateisystem vernichten, wird das Dateisystem nicht automatisch ausgehängt.

Lösung

Sie müssen neue root-Berechtigungsnachweise erstellen, um auf des mit Kerberos ausgestattete Dateisystem zuzugreifen. Wenn Sie keinen Zugriff auf das mit Kerberos ausgestattete Dateisystem mehr benötigen, hängen Sie das Dateisystem aus.

Fehlermeldung

Verschlüsselung konnte nicht aktiviert werden. Auf Wiedersehen.
Ursache

Verschlüsselung konnte nicht mit dem Server verhandelt werden.

Lösung

Starten Sie die Authentisierungsfehlersuche durch Aufruf des Befehls telnet mit toggle encdebug, und schauen Sie die Meldungen der Fehlersuche nach weiteren Hinweisen durch.

Fehlermeldung

Verschlüsselung wurde nicht erfolgreich verhandelt. Auf Wiedersehen.
Ursache

Verschlüsselung konnte nicht verhandelt werden.

Lösung

Suchen Sie nach Fehlermeldungen in der KDC-Protokolldatei.

Fehlermeldung

Endes des Berechtigungsnachweis-Cache erreicht
Ursache

Ein Fehler ist beim Lesen des Berechtigungsnachweis-Cache (/tmp/krb5cc_uid) aufgetreten.

Lösung

Stellen Sie sicher, daß der Berechtigungsnachweis-Cache gelesen werden kann und Daten enthält.

Fehlermeldung

Berechtigungsnachweis-Cache konnte nicht abgerufen werden
Ursache

Bei der Initialisierung von kadmin ist ein Fehler aufgetreten, als kadmin versucht hat, die Berechtigungsnachweise für den admin-Hauptbenutzer abzurufen.

Lösung

Vergewissern Sie sich, daß Sie bei Ausführung von kadmin den richtigen Hauptbenutzer bzw. das richtige Paßwort verwendet haben.

Fehlermeldung

Feld ist für diese Implementierung zu lang
Ursache

Die Nachricht, die von einer mit Kerberos ausgestatteten Anwendung gesendet wurde, war zu lang. Die maximale Nachrichtenlänge, die von Kerberos bearbeitet werden kann, beträgt 65535 Byte. Außerdem gibt es Einschränkungen bei einzelnen Feldern innerhalb einer von Kerberos gesendeten Protokollnachricht.

Lösung

Stellen Sie sicher, daß die mit Kerberos ausgestatteten Anwendungen Nachrichten mit gültigen Längen senden.

Fehlermeldung

GSS-API-Fehler (oder bei Kerberos)
Ursache

Dies ist eine allgemeine Fehlermeldung der GSS-API oder von Kerberos, die durch mehrere unterschiedliche Probleme verursacht werden kann.

Lösung

Schauen Sie sich die Datei /etc/krb5/kdc.log an, um die speziellere GSS-API-Fehlermeldung zu finden, die beim Auftreten dieses Fehlers protokolliert wurde.

Fehlermeldung

Hostname kann nicht kanonisiert werden
Ursache

Kerberos kann den Hostnamen nicht vollständig qualifizieren.

Lösung

Vergewissern Sie sich, daß der Hostname in DNS enthalten ist, und daß die Zuordnungen Hostname:Adresse und Adress:Hostname konsistent sind.

Fehlermeldung

Ungültiges bereichsübergreifendes Ticket
Ursache

Das gesendete Ticket hatte nicht die korrekten bereichsübergreifenden Angaben. Die Bereiche könnten nicht die richtigen Vertrauensbeziehungen zueinander eingerichtet haben.

Lösung

Vergewissern Sie sich, daß die Bereiche die richtigen Vertrauensbeziehungen zueinander haben.

Fehlermeldung

Falsches Format der Kerberos-Konfigurationsdatei
Ursache

Die Kerberos-Konfigurationsdatei (krb5.conf) hat ungültige Einträge.

Lösung

Stellen Sie sicher, daß auf alle Relationen in der Datei krb5.conf ein Gleichheitszeichen (=) und ein Wert folgt, und überprüfen Sie, daß jeder Unterabschnitt paarweise eckige Klammern enthält.

Fehlermeldung

Unpassender Prüfsummentyp in Nachricht
Ursache

Die Nachricht enthielt einen ungültigen Prüfsummentyp.

Lösung

Prüfen Sie, welche gültigen Prüfsummentypen in den Dateien krb5.conf und kdc.conf angegeben sind.

Fehlermeldung

Falsche Netzwerkadresse
Ursache

Es gab eine fehlende Übereinstimmung bei der Netzwerkadresse. Die Netzwerkadresse im weiterzuleitenden Ticket unterschied sich von der Netzwerkadresse, an der das Ticket verarbeitet wurde. Das kann beim Weiterleiten von Tickets vorkommen.

Lösung

Vergewissern Sie sich, daß die Netzwerkadressen korrekt sind; vernichten Sie Ihre Tickets mit kdestroy, und erstellen Sie neue Tickets mit kinit.

Fehlermeldung

Ungültiges Flag für Dateisperrmodus
Ursache

Ein interner Kerberos-Fehler ist aufgetreten.

Lösung

Melden Sie dies bitte als Fehler.

Fehlermeldung

Ungültiger Nachrichtentyp für Verschlüsselung angegeben
Ursache

Kerberos konnte den Typ der Nachricht, die von der mit Kerberos ausgestatteten Anwendung gesendet wurde, nicht erkennen.

Lösung

Wenn Sie eine mit Kerberos ausgestattete Anwendung verwenden, die an Ihrem Standort selbst oder von einem Hersteller entwickelt wurde, stellen Sie sicher, daß diese Anwendung Kerberos richtig verwendet.

Fehlermeldung

Ungültige Anzahl von Zeichenklassen
Ursache

Das von Ihnen eingegebene Paßwort für den Hauptbenutzer enthält nicht so viele Paßwortklassen, wie durch die Hauptbenutzer-Richtlinie erzwungen.

Lösung

Vergewissern Sie sich, daß Sie ein Paßwort mit der Mindestanzahl von Paßwortklassen eingeben, die von der Richtlinie verlangt wird.

Fehlermeldung

KADM err: Speicherreservierungsfehler
Ursache

Es gibt zu wenig Hauptspeicher, um kadmin auszuführen.

Lösung

Geben Sie Hauptspeicher frei und versuchen Sie noch einmal, kadmin auszuführen.

Fehlermeldung

KDC kann angeforderte Option nicht erfüllen
Ursache

Das KDC hat die angeforderte Option nicht zugelassen. Das Problem lag möglicherweise daran, daß Nachdatieren oder weiterleitbare Optionen angefordert wurden, und das KDC hat das nicht zugelassen. Ein anderes Problem könnte sein, daß Sie die Verlängerung eines TGT angefordert haben, Sie jedoch kein verlängerbares TGT besitzen.

Lösung

Finden Sie heraus, ob Sie eine Option anfordern, die das KDC nicht erlaubt, oder ob Sie etwas anfordern, was Sie nicht besitzen.

Fehlermeldung

KDC-Richtlinie weist Anforderung zurück
Ursache

Die KDC-Richtlinie hat die Anforderung nicht zugelassen. Zum Beispiel enthielt die Anforderung an das KDC keine IP-Adresse, oder es wurde Weiterleitung angefordert, doch das KDC hat es nicht zugelassen.

Lösung

Vergewissern Sie sich, daß Sie kinit mit den richtigen Optionen verwenden. Falls nötig, ändern Sie die dem Hauptbenutzer zugewiesene Richtlinie, oder ändern Sie die Attribute des Hauptbenutzers, um die Anforderung zu erlauben. Sie können mithilfe von kadmin(1M) die Richtlinie oder den Hauptbenutzer ändern.

Fehlermeldung

KDC-Antwort entspricht nicht den Erwartungen
Ursache

Die Antwort des KDC enthielt nicht den erwarteten Hauptbenutzernamen, oder andere Werte waren in der Antwort falsch.

Lösung

Vergewissern Sie sich, daß das KDC, mit dem Sie kommunizieren, dem Entwurf RFC1510 entspricht, daß die von Ihnen gesendete Anforderung eine Kerberos V5-Anforderung ist, und daß das KDC zur Verfügung steht.

Fehlermeldung

Kerberos V5 weist die Authentisierung zurück
Ursache

Authentisierung konnte nicht mit dem Server verhandelt werden.

Lösung

Starten Sie die Authentisierungsfehlersuche durch Aufruf des Befehls telnet mit toggle authdebug, und schauen Sie die Meldungen der Fehlersuche nach weiteren Hinweisen durch. Stellen Sie auch sicher, daß Sie gültige Berechtigungsnachweise haben.

Fehlermeldung

Schlüsseltabelleneintrag nicht gefunden
Ursache

Es gibt keinen Eintrag für den Service-Hauptbenutzer in der Schlüsseltabelle des Anwendungsservers im Netzwerk.

Lösung

Fügen Sie den entsprechenden Service-Hauptbenutzer zur Schlüsseltabelle des Servers hinzu, damit dieser den Kerberos-Dienst zur Verfügung stellen kann.

Fehlermeldung

Schlüssel-Versionsnummer für Hauptbenutzer in Schlüsseltabelle ist falsch
Ursache

Die Schlüsselversion eines Hauptbenutzers ist in der Schlüsseltabelle und in der Kerberos-Datenbank unterschiedlich. Entweder ist ein Service geändert worden, oder es könnte sein, daß Sie ein altes Service-Ticket verwenden.

Lösung

Wenn ein Service-Schlüssel geändert worden ist (zum Beispiel über den Befehl kadmin), müssen Sie den neuen Schlüssel auslesen und in der Schlüsseltabelle des Hosts speichern, auf dem der Service ausgeführt wird.

Oder es könnte sein, daß Sie ein altes Service-Ticket verwenden, das einen älteren Schlüssel enthält. Führen Sie kdestroy aus und dann wieder kinit.

Fehlermeldung

login: load_modules: kann /usr/lib/security/pam_krb5.so.1 nicht öffnen.
Ursache

Entweder fehlt das Kerberos PAM-Modul, oder es ist keine gültige ausführbare Binärdatei.

Lösung

Vergewissern Sie sich, daß das Kerberos PAM-Modul sich in /usr/lib/security befindet, und daß es sich um eine gültige ausführbare Binärdatei handelt. Auch muß /etc/pam.conf den richtigen Pfad auf pam_krb5.so.1 enthalten.

Fehlermeldung

Schleife in krb5_get_in_tkt entdeckt
Ursache

Kerberos hat mehrere Versuche unternommen, die Anfangstickets zu erhalten, blieb jedoch erfolglos.

Lösung

Stellen Sie sicher, daß wenigstens ein KDC auf Authentisierungsanforderungen reagiert.

Fehlermeldung

Masterschlüssel stimmt nicht mit Datenbank überein
Ursache

Der geladene Datenbank-Abzug ist nicht aus einer Datenbank erstellt worden, die den Masterschlüssel enthielt, welcher in /var/krb5/.k5.BEREICH gespeichert ist.

Lösung

Stellen Sie sicher, daß der Masterschlüssel im geladenen Datenbank-Abzug mit dem in /var/krb5/.k5. BEREICH gespeicherten Masterschlüssel übereinstimmt.

Fehlermeldung

Übereinstimmender Berechtigungsnachweis nicht gefunden
Ursache

Der übereinstimmende Berechtigungsnachweis für die Anforderung wurde nicht gefunden. Ihre Anforderung verlangt Berechtigungsnachweise, die im Berechtigungsnachweis-Cache nicht vorhanden sind.

Lösung

Vernichten Sie Ihre Tickets mit kdestroy und erstellen Sie mit kinit neue Tickets.

Fehlermeldung

Nachricht nicht in Reihenfolge
Ursache

Nachrichten, die in vertraulicher Reihenfolge gesendet wurden, sind nicht in Reihenfolge angekommen. Einige Nachrichten könnten bei der Übertragung verlorengegangen sein.

Lösung

Initialisieren Sie die Kerberos-Sitzung noch einmal.

Fehlermeldung

Nachrichtenstrom geändert
Ursache

Die berechnete Prüfsumme und die von der Nachricht übermittelte Prüfsumme stimmen nicht überein. Die Nachricht könnte während der Übertragung verändert worden sein, was auf eine Schwachstelle in der Sicherheit hinweist.

Lösung

Stellen Sie sicher, daß die Nachrichten fehlerfrei über das Netzwerk gesendet werden. Da diese Meldung auch ein Hinweis auf mögliche Manipulationen an den Nachrichten während ihrer Übertragung sein kann, vernichten Sie mit dem Befehl kdestroy Ihre Tickets, und initialisieren Sie die von Ihnen verwendeten Kerberos-Services neu.