Resolución de problemas de SEAM
Este apartado proporciona información de resolución de problemas para el software SEAM.
Problemas con el formato del archivo krb5.conf
Si el archivo krb5.conf no está formateado correctamente, fallará el comando telnet. Sin embargo, los comandos dtlogin y login todavía funcionarán, incluso si se especifica el archivo krb5.conf como lo exigen los comandos. Si sucede esto, aparecerá el mensaje de error siguiente:
Error al inicializar krb5: formato de la configuración de Kerberos no adecuada |
Si hay un problema con el formato del archivo krb5.conf, será vulnerable a las infracciones de seguridad. Antes de permitir que se utilicen las funciones de SEAM, debería solucionar el problema.
Problemas al propagar la base de datos de Kerberos
Si falla la propagación de la base de datos de Kerberos, intente hacer /usr/krb5/bin/rlogin -x entre el KDC esclavo y el maestro y viceversa.
Nota -
Si se han configurado los KDC para restringir el acceso, rlogin estará inhabilitado y no se podrá utilizar para resolver este problema. Para habilitar rlogin en un KDC, debe quitar el comentario de la entrada eklogin en el archivo /etc/inetd.conf y reiniciar inetd de la forma siguiente:
# ps -eaf | grep inetd muestra el ID de proceso de inetd # kill -1 pid_de_inetd |
Después de solucionar este problema, es necesario que cambie el archivo inetd.conf a su estado original y reinicie inetd de nuevo.
Si no funciona rlogin, es probable que los problemas sean las tablas de claves de los KDC. Si funciona rlogin, el problema no está en la tabla de claves o en el servicio de nombres, ya que rlogin y el software de propagación utilizan el mismo principal host/nombre_sistema. En este caso, asegúrese de que sea correcto el archivo kpropd.acl.
Problemas al montar un sistema de archivos NFS adaptado a Kerberos
-
Si el montaje de un sistema de archivos NFS adaptado a Kerberos no es satisfactorio, asegúrese de que exista el archivo /var/tmp/rc_nfs en el servidor NFS. Si no es propiedad de root, elimínelo y vuelva a intentar el montaje.
-
Si tiene problemas para acceder a un sistema de archivos NFS adaptado a Kerberos, asegúrese de que haya una entrada para gssd en el archivo inetd.conf de su sistema y del servidor NFS.
-
Si ve el mensaje de error argumento no válido o directorio incorrecto al intentar acceder a un sistema de archivos adaptado a Kerberos, el problema puede ser que no utiliza un nombre de DNS completo al intentar montar un sistema de archivos NFS. El sistema que se monta no es el mismo que la parte de nombre de sistema del principal de servicio de la tabla de claves del servidor.
Esto también puede suceder si su servidor tiene varias interfaces Ethernet y ha configurado DNS para que utilice un esquema "nombre por interfaz" en lugar de un esquema "varios registros de dirección por sistema". Para SEAM, debe configurar varios registros de dirección por sistema de la forma siguiente [Ken Hornstein, "FAQ de Kerberos", [http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html], accedido el 11 de diciembre de 1998.] :
my.host.name. A 1.2.3.4 A 1.2.4.4 A 1.2.5.4 my-en0.host.name. A 1.2.3.4 my-en1.host.name. A 1.2.4.4 my-en2.host.name. A 1.2.5.4 4.3.2.1 PTR my.host.name. 4.4.2.1 PTR my.host.name. 4.5.2.1 PTR my.host.name.
En este ejemplo, la configuración permite una referencia a las interfaces distintas y permite un único principal de servicio en lugar de tres principales de servicio en la tabla de claves del servidor.
Problemas para la autenticación como root
Si falla la autenticación cuando intenta convertirse en superusuario en su sistema y ya ha agregado el principal de sistema a la tabla de claves de su sistema, deben comprobarse dos problemas potenciales. En primer lugar, asegúrese de que el principal root de la tabla de claves tiene un nombre completo en su ejemplar. De ser así, compruebe el archivo /etc/resolv.conf para asegurarse de que el sistema esté configurado correctamente como cliente de DNS.
- © 2010, Oracle Corporation and/or its affiliates