test

Sun Guía de Sun Enterprise Authentication Mechanism

Capítulo 4 Mensajes de error y resolución de problemas de SEAM

Este capítulo proporciona resoluciones para los mensajes de error que puede recibir, así como algunos consejos de resolución de problemas al utilizar SEAM. Ésta es una lista de los mensajes de error y la información de resolución de problemas de este capítulo.

Mensajes de error de SEAM

Este apartado proporciona información sobre los mensajes de error de SEAM, incluido el porqué se produjo cada mensaje de error y una solución.

Mensajes de error de la Herramienta de administración de SEAM

Mensaje de error

Imposible ver la lista de principales o normas; utilice el campo Nombre.
Motivo

El principal admin con el que ha iniciado la sesión no tiene el privilegio de lista (l) en el archivo de LCA de Kerberos ( kadm5.acl), por consiguiente no puede ver las listas de principales o de normas.

Solución

Debe escribir los nombres de los principales y las normas para trabajar con ellos, o iniciar una sesión con un principal que tenga los privilegios adecuados.

Mensaje de error

JNI: creación de matriz Java no satisfactoria 
JNI: consulta de clase Java no satisfactoria 
JNI: consulta de campo Java no satisfactoria 
JNI: consulta de método Java no satisfactorio 
JNI: consulta de objeto Java no satisfactoria 
JNI: consulta de campo de objeto Java no satisfactoria 
JNI: acceso a cadena Java no satisfactorio
JNI: creación de cadena Java no satisfactoria
Motivo

Hay un problema grave con la Interfaz nativa de Java que utiliza la Herramienta de administración SEAM ( gkadmin).

Solución

Salga de gkadmin y reinícielo; si continúa el problema, informe del defecto.

Mensajes de error habituales de SEAM (A-M)

Este apartado proporciona una lista ordenado alfabéticamente (A-M) de los mensajes de error más habituales para los comandos y daemons de SEAM, la estructura PAM, la interfaz GSS y la biblioteca de Kerberos.

Mensaje de error

Campo demasiado largo para esta implementación
Motivo

El tamaño del mensaje enviado por una aplicación adaptada a Kerberos ha sido demasiado grande. El tamaño de mensaje máximo que puede manejar Kerberos es 65535 bytes. Además, hay límites en los campos individuales de los mensajes de protocolo enviados por Kerberos.

Solución

Asegúrese de que sus aplicaciones adaptadas a Kerberos envían mensajes con tamaños válidos.

Mensaje de error

Canal de mensajes modificado
Motivo

Ha ocurrido una discrepancia entre la suma de comprobación calculada y la del mensaje. Puede que éste se haya modificado por el camino, lo que indicaría una infracción de la seguridad.

Solución

Asegúrese de que se envían correctamente los mensajes a través de la red. Como este mensaje también puede indicar una posible alteración de los mensajes mientras se envían, destruya sus cupones con kdestroy y reinicialice los servicios de Kerberos que está utilizando.

Mensaje de error

Comprobación de integridad de la desencriptación no satisfactoria
Motivo

Puede que tenga un cupón no válido.

Solución

  1. Asegúrese de que sean válidas sus credenciales. Destruya sus cupones con kdestroy y cree otros nuevos con kinit.

  2. Asegúrese de que el sistema de destino tenga una tabla de claves con la versión correcta de la clave de servicio. Utilice kadmin(1M) para ver el número de versión de clave del principal de servicio (por ejemplo, host/nombre_sistema_completo) en la base de datos de Kerberos y utilice klist -k en el sistema de destino para asegurarse de que tenga el mismo número de versión de clave.

Mensaje de error

Credencial concordante no encontrada
Motivo

No se ha encontrado la credencial concordante para la solicitud. Ésta necesita credenciales que no están disponibles en la antememoria de credenciales.

Solución

Destruya sus cupones con kdestroy y cree otros nuevos con kinit.

Mensaje de error

Cupón caducado
Motivo

Su hora de los cupones ha caducado.

Solución

Destruya sus cupones con kdestroy y cree otros nuevos con kinit.

Mensaje de error

Cupón entre ámbitos no permitido
Motivo

El cupón enviado no tenía los ámbitos cruzados correctos. Puede que los ámbitos no tengan configuradas las relaciones de confianza adecuadas.

Solución

Asegúrese de que los ámbitos que utiliza tengan las relaciones de confianza correctas.

Mensaje de error

Cupón no válido todavía
Motivo

El cupón con fecha futura todavía no es válido.

Solución

Cree cupones nuevos con la fecha correcta o espere a que los cupones actuales sean válidos.

Mensaje de error

Debe utilizarse otro mecanismo de autenticación para acceder a este sistema
Motivo

No ha sido posible realizar la autenticación.

Solución

Asegúrese de que el cliente utiliza Kerberos V5 para la autenticación.

Mensaje de error

Detectado archivo de entrada truncado
Motivo

El archivo de volcado de la base de datos que utiliza en la operación no es un archivo de volcado completo.

Solución

Vuelva a crear el archivo de volcado o utilice uno distinto.

Mensaje de error

Detectado bucle dentro de krb5_get_in_tkt
Motivo

Kerberos ha realizado varios intentos para obtener los cupones iniciales pero la operación no ha sido satisfactoria.

Solución

Asegúrese de que como mínimo un KDC responda a las solicitudes de autenticación.

Mensaje de error

df: no es posible hacer statvfs del sistema de archivos: argumento no válido
Motivo

El comando df no puede acceder al sistema de archivos NFS adaptado a Kerberos, que está montado actualmente, para generar su informe porque ya no tiene las credenciales de root adecuadas. Al destruir sus credenciales para un sistema de archivos adaptado a Kerberos montado no desmonta el sistema de archivos automáticamente.

Solución

Para acceder al sistema de archivos adaptado a Kerberos, debe crear nuevas credenciales de root. Si ya no necesita el acceso al sistema de archivos, desmóntelo.

Mensaje de error

Dirección de red incorrecta
Motivo

Ha habido una discrepancia en la dirección de red; la del cupón que se remitía era diferente de la que se procesaba. Esto puede suceder al remitir cupones.

Solución

Asegúrese de que las direcciones de red sean correctas; destruya sus cupones con kdestroy y cree otros nuevos con kinit.

Mensaje de error

Discrepancia de ámbitos de cliente/servidor en solicitud de cupón inicial
Motivo

Se ha producido una discrepancia de ámbitos entre el cliente y el servidor en la solicitud de cupón inicial.

Solución

Asegúrese de que el servidor con el que se está comunicando se encuentra en el mismo ámbito que el cliente o de que las configuraciones de los ámbitos sean correctas.

Mensaje de error

Discrepancia de versión de los protocolos
Motivo

Probablemente se ha enviado una solicitud de Kerberos V4 al KDC. SEAM sólo admite el protocolo Kerberos V5.

Solución

Asegúrese de que sus aplicaciones utilizan el protocolo Kerberos V5.

Mensaje de error

El cliente no proporcionó la suma de comprobación necesaria; conexión rechazada
Motivo

No se ha mejorado la autenticación con suma de comprobación con el cliente. Puede que éste utilice un protocolo antiguo de Kerberos V5 que no admite las conexiones iniciales.

Solución

Asegúrese de que el cliente utiliza un protocolo de Kerberos V5 que admite las conexiones iniciales.

Mensaje de error

El cliente o el servidor tienen una clave nula
Motivo

El principal tiene una clave nula.

Solución

Modifique el principal para que tenga una clave no nula mediante el comando cpw de kadmin(1M).

Mensaje de error

El cupón no es para nosotros

O 

cupón/autenticador no concuerdan
Motivo

Ha ocurrido una discrepancia entre el cupón y el autenticador. Puede que el nombre de principal de la solicitud no haya concordado con el nombre del principal de servicio porque se ha enviado el cupón con un nombre completo mientras que el servicio esperaba un nombre no completo o viceversa.

Solución

Asegúrese de que el principal de servicio que utiliza es el correcto.

Mensaje de error

El cupón no posee las condiciones exigidas para poder tener una fecha futura
Motivo

El principal no admite que sus cupones tengan fechas futuras.

Solución

Modifique el principal con kadmin(1M) para permitir los cupones con fechas futuras.

Mensaje de error

El número de versión de clave para el principal en la tabla de claves es incorrecto
Motivo

La versión de la clave de un principal es distinta en la tabla de claves y en la base de datos de Kerberos. Se ha cambiado la clave de un servicio o puede estar utilizando un cupón de servicio antiguo.

Solución

Si se ha cambiado la clave de un servicio (por ejemplo, mediante kadmin), necesita extraer la clave nueva y almacenarla en la tabla de claves del sistema donde se ejecuta el servicio.

También es posible que utilice un cupón de servicio antiguo con una clave antigua. Puede que desee hacer un kdestroy y luego otro kinit.

Mensaje de error

El principal y el cupón solicitados no concuerdan
Motivo

El principal de servicio con el que está conectando y el cupón de servicio que tiene no concuerdan.

Solución

Asegúrese de que DNS funciona correctamente. Si utiliza el software de otro fabricante, asegúrese de que usa correctamente los nombres de principal.

Mensaje de error

El servidor ha rechazado la autenticación (durante el intercambio de sendauth)
Motivo

El servidor con el que está intentando comunicarse ha rechazado la autenticación. A menudo, este problema sucede al realizar la propagación de bases de datos de Kerberos. Algunas causas habituales pueden ser los problemas con el archivo kpropd.acl, DNS o las tablas de claves.

Solución

Si obtiene este error al ejecutar aplicaciones distintas de kprop, investigue si la tabla de claves del servidor es correcta.

Mensaje de error

El servidor ha rechazado la negociación de la encriptación. Adiós.
Motivo

No ha sido posible negociar la encriptación con el servidor.

Solución

Inicie la depuración de la autenticación invocando al comando telnet toggle encdebug y consulte los mensajes de depuración para obtener más pistas.

Mensaje de error

Entrada de tabla de claves no encontrada
Motivo

No hay ninguna entrada para el principal de servicio en la tabla de claves del servidor de aplicaciones de red.

Solución

Agregue el principal de servicio adecuado en la tabla de claves del servidor para que pueda proporcionar el servicio adaptado a Kerberos.

Mensaje de error

Error de configuración: requerir sumas de comprobación con -c- no es coherente con permitir 
las conexiones de Kerberos V4.
Motivo

No se ha negociado la autenticación con suma de comprobación con el cliente. Puede que éste utilice un protocolo antiguo de Kerberos V5 que no admite las conexiones iniciales.

Solución

Asegúrese de que el cliente utiliza un protocolo de Kerberos V5 que admite las conexiones iniciales.

Mensaje de error

Error de GSS-API (o de Kerberos)
Motivo

Es un mensaje de error general de GSS-API o de Kerberos y puede estar provocado por varios problemas diferentes.

Solución

Consulte el archivo /etc/krb5/kdc.log para encontrar el mensaje de error de GSS-API más específico que se ha registrado al producirse este error.

Mensaje de error

Error de KADM: fallo en asignación de memoria
Motivo

No hay suficiente memoria para ejecutar kadmin.

Solución

Libere memoria e intente ejecutar kadmin de nuevo.

Mensaje de error

Está utilizando un cliente Kerberos5 antiguo sin admisión de sumas de comprobación;
sólo están autorizados los clientes más nuevos.
Motivo

No se ha negociado la autenticación con suma de comprobación con el cliente. Quizás éste use un protocolo antiguo de Kerberos V5 que no admite las conexiones iniciales.

Solución

Asegúrese de que el cliente utiliza un protocolo de Kerberos V5 que admite las conexiones iniciales.

Mensaje de error

Faltan parámetros necesarios en krb5.conf al inicializar la interfaz kadmin
Motivo

Falta un parámetro (como el parámetro admin_server) en el archivo kr5.conf.

Solución

Determine qué parámetro falta y agréguelo a krb5.conf.

Mensaje de error

Formato no adecuado del archivo de configuración de Kerberos
Motivo

El archivo de configuración de Kerberos (krb5.conf) tiene entradas no válidas.

Solución

Asegúrese de que todas las relaciones del archivo krb5.conf tienen a continuación el signo "=" y un valor, y verifique que estén presentes los pares de paréntesis para cada subapartado.

Mensaje de error

Fracaso de comunicaciones con el servidor al inicializar la interfaz kadmin
Motivo

El sistema introducido para el servidor de administración (KDC maestro) no tenía kadmind en ejecución.

Solución

Asegúrese de que ha especificado el nombre de sistema correcto para el KDC maestro. Si lo ha hecho, compruebe que se ejecuta kadmind en el KDC maestro especificado.

Mensaje de error

Imposible autenticar al usuario de forma segura ... salir
Motivo

No ha sido posible negociar la autenticación con el servidor.

Solución

Inicie la depuración de la autenticación invocando al comando telnet toggle authdebug y observe los mensajes de depuración para obtener más información. Asegúrese también de tener credenciales válidas.

Mensaje de error

Imposible conectar con Kerberos V5 y proporcionar el servicio de encriptación

O 

Imposible conectar con Kerberos V5, mediante rlogin normal
Motivo

No ha sido posible establecer una sesión adaptada a Kerberos con el servicio adecuado ( kshell para rsh y rcp, eklogin o klogin para rlogin) en el servidor. Puede ser consecuencia de credenciales no válidas.

Solución

  1. Asegúrese de que sean válidas sus credenciales. Destruya sus cupones con kdestroy y cree otros nuevos con kinit.

  2. Asegúrese de que el sistema de destino tenga una tabla de claves con la versión correcta de la clave de servicio. Utilice kadmin(1M) para ver el número de versión de clave del principal de servicio (por ejemplo, host/nombre_sistema_completo) en la base de datos de Kerberos y utilice klist -k en el sistema de destino para asegurarse de que tenga el mismo número de versión de clave.

  3. Asegúrese de que hayan entradas para los servicios (klogin, eklogin y kshell) en el archivo /etc/inetd.conf del sistema de destino.

Mensaje de error

Indicador no válido para la modalidad de bloqueo de archivo
Motivo

Se ha producido un error interno de Kerberos.

Solución

Informe sobre el defecto.

Mensaje de error

Inhabilitados oodos los sistemas de autenticación; conexión rechazada
Motivo

Esta versión de rlogind no admite ningún mecanismo de autenticación.

Solución

Asegúrese de que se invoca a rlogind con la opción -k . De hecho, esto debe ser el valor predeterminado especificado en el archivo inetd.conf.

Mensaje de error

KDC no puede cumplir la opción solicitada
Motivo

KDC no ha permitido la opción solicitada. Un problema posible puede ser que se han solicitado las opciones de fecha futura o reenvío y KDC no lo ha permitido. Otro problema puede ser que ha solicitado la renovación de un TGT pero no tenía un TGT renovable.

Solución

Determine si solicita una opción no permitida por KDC o algo que no tiene.

Mensaje de error

Kerberos V5 rechaza la autenticación
Motivo

No ha sido posible negociar la autenticación con el servidor.

Solución

Inicie la depuración de la autenticación invocando al comando telnet toggle authdebug y observe los mensajes de depuración para obtener más información. Asegúrese también de tener credenciales válidas.

Mensaje de error

La clave maestra no concuerda con la base de datos
Motivo

El volcado de base de datos cargado no ha sido creado a partir de una base de datos que contenía la clave maestra, situada en /var/krb5/.k5.ÁMBITO.

Solución

Asegúrese de que la clave maestra del volcado de base de datos concuerda con la situada en /var/krb5/.k5.ÁMBITO.

Mensaje de error

La contraseña está en el diccionario de contraseñas
Motivo

La contraseña que ha escrito está en un diccionario de contraseñas que está en uso. No es una buena elección para una contraseña.

Solución

Elija una contraseña que tenga una mezcla de clases.

Mensaje de error

La cuenta de reintentos de des_read ha superado
Motivo

Se ha producido un error repetidamente al leer los datos.

Solución

Compruebe si hay otros problemas posibles en el sistema. Examine otros mensajes de syslog para obtener más pistas.

Mensaje de error

La encriptación no se negoció satisfactoriamente. Adiós.
Motivo

No ha sido posible negociar la encriptación.

Solución

Compruebe si hay mensajes de error en el archivo de registro del KDC.

Mensaje de error

La negociación de la autenticación no ha sido satisfactoria, cosa necesaria para la 
encriptación. Adiós.
Motivo

No ha sido posible negociar la autenticación con el servidor.

Solución

Inicie la depuración de la autenticación invocando al comando telnet toggle authdebug y observe los mensajes de depuración para obtener más información. Asegúrese también de tener credenciales válidas.

Mensaje de error

La norma de KDC rechaza la solicitud
Motivo

La norma de KDC no ha permitido la solicitud. Por ejemplo, la solicitud al KDC no tenía una dirección IP o se ha solicitado el reenvío pero KDC no lo ha permitido.

Solución

Asegúrese de que utiliza kinit con las opciones correctas. Si fuera necesario, modifique la norma asociada con el principal o cambie los atributos de éste para permitir la solicitud. Puede modificar la norma o el principal mediante kadmin(1M).

Mensaje de error

La operación necesita el privilegio "privilegio"
Motivo

El principal admin utilizado no tiene configurado el privilegio adecuado en el archivo kadm5.acl.

Solución

Utilice un principal que tenga los privilegios adecuados o configure el principal utilizado para que tenga los privilegios adecuados modificando el archivo kadm5.acl. Habitualmente, los principales con "/admin" como parte de su nombre tienen los privilegios adecuados.

Mensaje de error

La respuesta de KDC no concordó con lo que se esperaba
Motivo

La respuesta de KDC no contenía el nombre del principal esperado u otros valores de la respuesta eran incorrectos.

Solución

Asegúrese de que KDC con el que se comunica cumple RFC1510, de que la solicitud que envía es una solicitud de Kerberos V5 o de que esté disponible KDC.

Mensaje de error

La solicitud es una reproducción
Motivo

La solicitud ya se ha enviado a este servidor y se ha procesado. Puede que se hayan robado los cupones y otra persona esté intentando reutilizarlos.

Solución

Espere algunos minutos y vuelva a enviar la solicitud.

Mensaje de error

login: load_modules: no es posible abrir el módulo /usr/lib/security/pam_krb5.so.1
Motivo

Falta el módulo PAM de Kerberos o no es un binario ejecutable válido.

Solución

Asegúrese de que el módulo PAM de Kerberos está en /usr/lib/security y es un binario ejecutable válido. Asegúrese también de que /etc/pam.conf contiene la ruta correcta a pam_krb5.so.1.

Mensaje de error

major_error minor_error error de gssapi al importar un nombre
Motivo

Se ha producido un error al importar un nombre de servicio.

Solución

Asegúrese de que el principal de servicio host o ftp esté en el archivo de tabla de claves del sistema.

Mensaje de error

Mensaje fuera de orden
Motivo

Los mensajes que se han enviado mediante la privacidad de orden secuencial han llegado fuera de orden. Quizás se hayan perdido algunos mensajes por el camino.

Solución

Debe reinicializar la sesión de Kerberos.

Mensajes de error habituales de SEAM (N-Z)

Este apartado proporciona una lista ordenada alfabéticamente (N-Z) de los mensajes de error más habituales para los comandos y daemons de SEAM, la estructura PAM y la biblioteca de Kerberos.

Mensaje de error

No es posible abrir/encontrar el archivo de configuración de Kerberos
Motivo

El archivo de configuración de Kerberos (krb5.conf) no ha estado disponible.

Solución

Asegúrese de que el archivo krb5.conf esté disponible en la ubicación correcta y de que tenga los permisos correctos (debe poder ser grabable por root y legible por todos).

Mensaje de error

No es posible contactar con ningún KDC para el ámbito solicitado
Motivo

Ningún KDC ha respondido en el ámbito solicitado.

Solución

Asegúrese de que se puede contactar con un KDC como mínimo (el maestro o el esclavo) o de que se esté ejecutando el daemon krb5kdc en los KDC. Busque la lista de KDC configurados en /etc/krb5/krb5.conf (kdc = nombre_kdc).

Mensaje de error

No es posible determinar el ámbito para el sistema
Motivo

Kerberos no puede determinar el nombre de ámbito para el sistema.

Solución

Asegúrese de que hay un nombre de ámbito predeterminado o de que estén configuradas las reasignaciones de nombres de dominio en el archivo de configuración de Kerberos ( krb5.conf).

Mensaje de error

No es posible encontrar el KDC para el ámbito solicitado
Motivo

No se ha encontrado ningún KDC en el ámbito solicitado.

Solución

Asegúrese de que el archivo de configuración de Kerberos (krb5.conf) especifica un KDC en el apartado realm.

Mensaje de error

No es posible encriptar la red de escritura
Motivo

Se ha producido un problema al encriptar los datos.

Solución

Compruebe si hay otros problemas posibles en el sistema. Examine otros mensajes de syslog para obtener más pistas.

Mensaje de error

No es posible obtener las credenciales remitidas
Motivo

No ha sido posible establecer el reenvío de credenciales.

Solución

Asegúrese de que el principal tiene credenciales remitibles.

Mensaje de error

No es posible poner en forma canónica el nombre de sistema
Motivo

Kerberos no puede completar el nombre de sistema.

Solución

Asegúrese de que el nombre del sistema esté en DNS y de que sean coherentes las reasignaciones de nombre de sistema a dirección y de dirección a nombre de sistema.

Mensaje de error

No es posible resolver el KDC para el ámbito solicitado
Motivo

Kerberos no puede determinar ningún KDC para el ámbito.

Solución

Asegúrese de que el archivo de configuración de Kerberos (krb5.conf) especifica un KDC en el apartado realm.

Mensaje de error

No es posible volver a utilizar la contraseña
Motivo

Este principal ha utilizado anteriormente la contraseña que ha escrito.

Solución

Elija una contraseña que no se haya seleccionado anteriormente, como mínimo dentro del número de contraseñas que se conserva en la base de datos del KDC para cada principal (esto lo aplica la norma del principal).

Mensaje de error

Nombre de sistema de servidor de administración de krb5 incorrecto al inicializar la 
interfaz kadmin.
Motivo

Se ha configurado un nombre de sistema no válido para el servidor de administración (KDC maestro) en el archivo krb5.conf.

Solución

Asegúrese de que se especifica el nombre de sistema correcto en el archivo krb5.conf para el servidor de administración (KDC maestro).

Mensaje de error

no puede inicializar el ámbitonombre_ámbito
Motivo

Quizás el KDC no tenga un archivo de reserva.

Solución

Asegúrese de que el KDC tiene un archivo de reserva. Si no es así, cree uno mediante el comando kdb5_util(1M) e intente ejecutar krb5kdc de nuevo (/etc/init.d/kdc).

Mensaje de error

No se habilitó ningún sistema de autenticación; se rechazarán todas las conexiones.
Motivo

Esta versión de rlogind no admite ningún mecanismo de autenticación.

Solución

Asegúrese de que se invoca rlogind con la opción -k . De hecho, esto debe ser el valor predeterminado especificado en el archivo inetd.conf.

Mensaje de error

No se ha encontrado un archivo de antememoria de credenciales
Motivo

Kerberos no ha podido encontrar la antememoria de credenciales (/tmp/krb5cc_ uid).

Solución

Asegúrese de que exista el archivo de credenciales y de que sea legible. Si no lo es, intente llevar a cabo un kinit de nuevo.

Mensaje de error

No se ha podido habilitar la encriptación. Adiós.
Motivo

No ha sido posible negociar la encriptación con el servidor.

Solución

Inicie la depuración de la autenticación invocando el comando telnet toggle encdebug y consulte los mensajes de depuración para obtener más pistas.

Mensaje de error

Número de clases de caracteres no válido
Motivo

La contraseña que ha escrito para el principal no contiene suficientes clases de contraseña, según lo aplicado por la norma del principal.

Solución

Asegúrese de escribir una contraseña con el número mínimo de clases de contraseña que solicita la norma.

Mensaje de error

obtención de antememoria de credenciales no satisfactoria
Motivo

Durante la administración de kadmin , se ha producido un fracaso al intentar kadmin obtener las credenciales para el principal admin.

Solución

Asegúrese de que utiliza el principal y la contraseña correctos al ejecutar kadmin.

Mensaje de error

Operación de E/S de antememoria de credenciales no satisfactoria XXX
Motivo

Kerberos ha tenido un problema al escribir en la antememoria de credenciales del sistema (/tmp/krb5cc_uid).

Solución

Asegúrese de que no se haya eliminado la antememoria de credenciales y que haya espacio disponible en el dispositivo mediante el comando df.

Mensaje de error

PAM-KRB5: Autenticación Kerberos V5 no satisfactoria: contraseña incorrecta
Motivo

Su contraseña de UNIX y la de Kerberos son diferentes. La mayoría de los comandos no adaptados a Kerberos, como login, están configurados mediante PAM para que se autentiquen con Kerberos con la misma contraseña que la especificada para UNIX. Si sus contraseñas son diferentes, fallará la autenticación Kerberos.

Solución

Debe escribir su contraseña de Kerberos cuando se le solicite.

Mensaje de error

Permiso denegado en código de antememoria de reproducción
Motivo

No ha sido posible abrir la antememoria de reproducción del sistema. Puede que se haya ejecutado el servidor primeramente bajo un identificador de usuario distinto al actual.

Solución

Asegúrese de que la antememoria de reproducción tiene los permisos adecuados. Ésta está almacenada en el sistema en que se ejecuta la aplicación de servidor adaptada a Kerberos (/usr/tmp/rc_nombre_servicio). En lugar de cambiar los permisos de la antememoria de reproducción actual, puede eliminarla antes de ejecutar el servidor adaptado a Kerberos bajo un identificador de usuario distinto.

Mensaje de error

Permisos del archivo de antememoria de credenciales incorrectos
Motivo

No tiene los permisos de lectura o escritura apropiados en la antememoria de credenciales (/tmp/krb5cc_uid).

Solución

Asegúrese de que tiene permisos de lectura y escritura en la antememoria de credenciales.

Mensaje de error

Principal incorrecto en solicitud
Motivo

Ha habido un nombre de principal incorrecto en el cupón. Puede ser un problema de DNS o de nombre completo.

Solución

Asegúrese de que el principal del servicio concuerde con el del cupón.

Mensaje de error

Se ha llegado al final de la antememoria de credenciales
Motivo

Se ha producido un error al leer la antememoria de credenciales (/tmp/krb5cc_ uid).

Solución

Asegúrese de que la antememoria de credenciales sea legible y de que contenga datos.

Mensaje de error

Tipo de mensaje especificado para la codificación no válido
Motivo

Kerberos no ha podido reconocer el tipo de mensaje enviado por la aplicación adaptada a Kerberos.

Solución

Si utiliza una aplicación adaptada a Kerberos desarrollada por su sede o un fabricante, asegúrese de que utiliza Kerberos correctamente.

Mensaje de error

Tipo de suma de comprobación en mensaje incorrecto
Motivo

El mensaje contenía un tipo de suma de comprobación no válido.

Solución

Compruebe qué tipos de suma de comprobación válidos están especificados en los archivos krb5.conf y kdc.conf.

Mensaje de error

Versión de protocolo solicitada no admitida
Motivo

Probablemente se ha enviado una solicitud de Kerberos V4 al KDC. SEAM sólo admite el protocolo Kerberos V5.

Solución

Asegúrese de que sus aplicaciones utilizan el protocolo Kerberos V5.

Resolución de problemas de SEAM

Este apartado proporciona información de resolución de problemas para el software SEAM.

Problemas con el formato del archivo krb5.conf

Si el archivo krb5.conf no está formateado correctamente, fallará el comando telnet. Sin embargo, los comandos dtlogin y login todavía funcionarán, incluso si se especifica el archivo krb5.conf como lo exigen los comandos. Si sucede esto, aparecerá el mensaje de error siguiente: 


Error al inicializar krb5: formato de la configuración de Kerberos no
adecuada

Si hay un problema con el formato del archivo krb5.conf, será vulnerable a las infracciones de seguridad. Antes de permitir que se utilicen las funciones de SEAM, debería solucionar el problema.

Problemas al propagar la base de datos de Kerberos

Si falla la propagación de la base de datos de Kerberos, intente hacer /usr/krb5/bin/rlogin -x entre el KDC esclavo y el maestro y viceversa.

Nota -

Si se han configurado los KDC para restringir el acceso, rlogin estará inhabilitado y no se podrá utilizar para resolver este problema. Para habilitar rlogin en un KDC, debe quitar el comentario de la entrada eklogin en el archivo /etc/inetd.conf y reiniciar inetd de la forma siguiente:


# ps -eaf | grep inetd       muestra el ID de proceso de inetd
# kill -1 pid_de_inetd

Después de solucionar este problema, es necesario que cambie el archivo inetd.conf a su estado original y reinicie inetd de nuevo.

Si no funciona rlogin, es probable que los problemas sean las tablas de claves de los KDC. Si funciona rlogin, el problema no está en la tabla de claves o en el servicio de nombres, ya que rlogin y el software de propagación utilizan el mismo principal host/nombre_sistema. En este caso, asegúrese de que sea correcto el archivo kpropd.acl.

Problemas al montar un sistema de archivos NFS adaptado a Kerberos

En este ejemplo, la configuración permite una referencia a las interfaces distintas y permite un único principal de servicio en lugar de tres principales de servicio en la tabla de claves del servidor.

Problemas para la autenticación como root

Si falla la autenticación cuando intenta convertirse en superusuario en su sistema y ya ha agregado el principal de sistema a la tabla de claves de su sistema, deben comprobarse dos problemas potenciales. En primer lugar, asegúrese de que el principal root de la tabla de claves tiene un nombre completo en su ejemplar. De ser así, compruebe el archivo /etc/resolv.conf para asegurarse de que el sistema esté configurado correctamente como cliente de DNS.