test

Sun Guía de Sun Enterprise Authentication Mechanism

Mensajes de error habituales de SEAM (A-M)

Este apartado proporciona una lista ordenado alfabéticamente (A-M) de los mensajes de error más habituales para los comandos y daemons de SEAM, la estructura PAM, la interfaz GSS y la biblioteca de Kerberos.

Mensaje de error

Campo demasiado largo para esta implementación
Motivo

El tamaño del mensaje enviado por una aplicación adaptada a Kerberos ha sido demasiado grande. El tamaño de mensaje máximo que puede manejar Kerberos es 65535 bytes. Además, hay límites en los campos individuales de los mensajes de protocolo enviados por Kerberos.

Solución

Asegúrese de que sus aplicaciones adaptadas a Kerberos envían mensajes con tamaños válidos.

Mensaje de error

Canal de mensajes modificado
Motivo

Ha ocurrido una discrepancia entre la suma de comprobación calculada y la del mensaje. Puede que éste se haya modificado por el camino, lo que indicaría una infracción de la seguridad.

Solución

Asegúrese de que se envían correctamente los mensajes a través de la red. Como este mensaje también puede indicar una posible alteración de los mensajes mientras se envían, destruya sus cupones con kdestroy y reinicialice los servicios de Kerberos que está utilizando.

Mensaje de error

Comprobación de integridad de la desencriptación no satisfactoria
Motivo

Puede que tenga un cupón no válido.

Solución

  1. Asegúrese de que sean válidas sus credenciales. Destruya sus cupones con kdestroy y cree otros nuevos con kinit.

  2. Asegúrese de que el sistema de destino tenga una tabla de claves con la versión correcta de la clave de servicio. Utilice kadmin(1M) para ver el número de versión de clave del principal de servicio (por ejemplo, host/nombre_sistema_completo) en la base de datos de Kerberos y utilice klist -k en el sistema de destino para asegurarse de que tenga el mismo número de versión de clave.

Mensaje de error

Credencial concordante no encontrada
Motivo

No se ha encontrado la credencial concordante para la solicitud. Ésta necesita credenciales que no están disponibles en la antememoria de credenciales.

Solución

Destruya sus cupones con kdestroy y cree otros nuevos con kinit.

Mensaje de error

Cupón caducado
Motivo

Su hora de los cupones ha caducado.

Solución

Destruya sus cupones con kdestroy y cree otros nuevos con kinit.

Mensaje de error

Cupón entre ámbitos no permitido
Motivo

El cupón enviado no tenía los ámbitos cruzados correctos. Puede que los ámbitos no tengan configuradas las relaciones de confianza adecuadas.

Solución

Asegúrese de que los ámbitos que utiliza tengan las relaciones de confianza correctas.

Mensaje de error

Cupón no válido todavía
Motivo

El cupón con fecha futura todavía no es válido.

Solución

Cree cupones nuevos con la fecha correcta o espere a que los cupones actuales sean válidos.

Mensaje de error

Debe utilizarse otro mecanismo de autenticación para acceder a este sistema
Motivo

No ha sido posible realizar la autenticación.

Solución

Asegúrese de que el cliente utiliza Kerberos V5 para la autenticación.

Mensaje de error

Detectado archivo de entrada truncado
Motivo

El archivo de volcado de la base de datos que utiliza en la operación no es un archivo de volcado completo.

Solución

Vuelva a crear el archivo de volcado o utilice uno distinto.

Mensaje de error

Detectado bucle dentro de krb5_get_in_tkt
Motivo

Kerberos ha realizado varios intentos para obtener los cupones iniciales pero la operación no ha sido satisfactoria.

Solución

Asegúrese de que como mínimo un KDC responda a las solicitudes de autenticación.

Mensaje de error

df: no es posible hacer statvfs del sistema de archivos: argumento no válido
Motivo

El comando df no puede acceder al sistema de archivos NFS adaptado a Kerberos, que está montado actualmente, para generar su informe porque ya no tiene las credenciales de root adecuadas. Al destruir sus credenciales para un sistema de archivos adaptado a Kerberos montado no desmonta el sistema de archivos automáticamente.

Solución

Para acceder al sistema de archivos adaptado a Kerberos, debe crear nuevas credenciales de root. Si ya no necesita el acceso al sistema de archivos, desmóntelo.

Mensaje de error

Dirección de red incorrecta
Motivo

Ha habido una discrepancia en la dirección de red; la del cupón que se remitía era diferente de la que se procesaba. Esto puede suceder al remitir cupones.

Solución

Asegúrese de que las direcciones de red sean correctas; destruya sus cupones con kdestroy y cree otros nuevos con kinit.

Mensaje de error

Discrepancia de ámbitos de cliente/servidor en solicitud de cupón inicial
Motivo

Se ha producido una discrepancia de ámbitos entre el cliente y el servidor en la solicitud de cupón inicial.

Solución

Asegúrese de que el servidor con el que se está comunicando se encuentra en el mismo ámbito que el cliente o de que las configuraciones de los ámbitos sean correctas.

Mensaje de error

Discrepancia de versión de los protocolos
Motivo

Probablemente se ha enviado una solicitud de Kerberos V4 al KDC. SEAM sólo admite el protocolo Kerberos V5.

Solución

Asegúrese de que sus aplicaciones utilizan el protocolo Kerberos V5.

Mensaje de error

El cliente no proporcionó la suma de comprobación necesaria; conexión rechazada
Motivo

No se ha mejorado la autenticación con suma de comprobación con el cliente. Puede que éste utilice un protocolo antiguo de Kerberos V5 que no admite las conexiones iniciales.

Solución

Asegúrese de que el cliente utiliza un protocolo de Kerberos V5 que admite las conexiones iniciales.

Mensaje de error

El cliente o el servidor tienen una clave nula
Motivo

El principal tiene una clave nula.

Solución

Modifique el principal para que tenga una clave no nula mediante el comando cpw de kadmin(1M).

Mensaje de error

El cupón no es para nosotros

O 

cupón/autenticador no concuerdan
Motivo

Ha ocurrido una discrepancia entre el cupón y el autenticador. Puede que el nombre de principal de la solicitud no haya concordado con el nombre del principal de servicio porque se ha enviado el cupón con un nombre completo mientras que el servicio esperaba un nombre no completo o viceversa.

Solución

Asegúrese de que el principal de servicio que utiliza es el correcto.

Mensaje de error

El cupón no posee las condiciones exigidas para poder tener una fecha futura
Motivo

El principal no admite que sus cupones tengan fechas futuras.

Solución

Modifique el principal con kadmin(1M) para permitir los cupones con fechas futuras.

Mensaje de error

El número de versión de clave para el principal en la tabla de claves es incorrecto
Motivo

La versión de la clave de un principal es distinta en la tabla de claves y en la base de datos de Kerberos. Se ha cambiado la clave de un servicio o puede estar utilizando un cupón de servicio antiguo.

Solución

Si se ha cambiado la clave de un servicio (por ejemplo, mediante kadmin), necesita extraer la clave nueva y almacenarla en la tabla de claves del sistema donde se ejecuta el servicio.

También es posible que utilice un cupón de servicio antiguo con una clave antigua. Puede que desee hacer un kdestroy y luego otro kinit.

Mensaje de error

El principal y el cupón solicitados no concuerdan
Motivo

El principal de servicio con el que está conectando y el cupón de servicio que tiene no concuerdan.

Solución

Asegúrese de que DNS funciona correctamente. Si utiliza el software de otro fabricante, asegúrese de que usa correctamente los nombres de principal.

Mensaje de error

El servidor ha rechazado la autenticación (durante el intercambio de sendauth)
Motivo

El servidor con el que está intentando comunicarse ha rechazado la autenticación. A menudo, este problema sucede al realizar la propagación de bases de datos de Kerberos. Algunas causas habituales pueden ser los problemas con el archivo kpropd.acl, DNS o las tablas de claves.

Solución

Si obtiene este error al ejecutar aplicaciones distintas de kprop, investigue si la tabla de claves del servidor es correcta.

Mensaje de error

El servidor ha rechazado la negociación de la encriptación. Adiós.
Motivo

No ha sido posible negociar la encriptación con el servidor.

Solución

Inicie la depuración de la autenticación invocando al comando telnet toggle encdebug y consulte los mensajes de depuración para obtener más pistas.

Mensaje de error

Entrada de tabla de claves no encontrada
Motivo

No hay ninguna entrada para el principal de servicio en la tabla de claves del servidor de aplicaciones de red.

Solución

Agregue el principal de servicio adecuado en la tabla de claves del servidor para que pueda proporcionar el servicio adaptado a Kerberos.

Mensaje de error

Error de configuración: requerir sumas de comprobación con -c- no es coherente con permitir 
las conexiones de Kerberos V4.
Motivo

No se ha negociado la autenticación con suma de comprobación con el cliente. Puede que éste utilice un protocolo antiguo de Kerberos V5 que no admite las conexiones iniciales.

Solución

Asegúrese de que el cliente utiliza un protocolo de Kerberos V5 que admite las conexiones iniciales.

Mensaje de error

Error de GSS-API (o de Kerberos)
Motivo

Es un mensaje de error general de GSS-API o de Kerberos y puede estar provocado por varios problemas diferentes.

Solución

Consulte el archivo /etc/krb5/kdc.log para encontrar el mensaje de error de GSS-API más específico que se ha registrado al producirse este error.

Mensaje de error

Error de KADM: fallo en asignación de memoria
Motivo

No hay suficiente memoria para ejecutar kadmin.

Solución

Libere memoria e intente ejecutar kadmin de nuevo.

Mensaje de error

Está utilizando un cliente Kerberos5 antiguo sin admisión de sumas de comprobación;
sólo están autorizados los clientes más nuevos.
Motivo

No se ha negociado la autenticación con suma de comprobación con el cliente. Quizás éste use un protocolo antiguo de Kerberos V5 que no admite las conexiones iniciales.

Solución

Asegúrese de que el cliente utiliza un protocolo de Kerberos V5 que admite las conexiones iniciales.

Mensaje de error

Faltan parámetros necesarios en krb5.conf al inicializar la interfaz kadmin
Motivo

Falta un parámetro (como el parámetro admin_server) en el archivo kr5.conf.

Solución

Determine qué parámetro falta y agréguelo a krb5.conf.

Mensaje de error

Formato no adecuado del archivo de configuración de Kerberos
Motivo

El archivo de configuración de Kerberos (krb5.conf) tiene entradas no válidas.

Solución

Asegúrese de que todas las relaciones del archivo krb5.conf tienen a continuación el signo "=" y un valor, y verifique que estén presentes los pares de paréntesis para cada subapartado.

Mensaje de error

Fracaso de comunicaciones con el servidor al inicializar la interfaz kadmin
Motivo

El sistema introducido para el servidor de administración (KDC maestro) no tenía kadmind en ejecución.

Solución

Asegúrese de que ha especificado el nombre de sistema correcto para el KDC maestro. Si lo ha hecho, compruebe que se ejecuta kadmind en el KDC maestro especificado.

Mensaje de error

Imposible autenticar al usuario de forma segura ... salir
Motivo

No ha sido posible negociar la autenticación con el servidor.

Solución

Inicie la depuración de la autenticación invocando al comando telnet toggle authdebug y observe los mensajes de depuración para obtener más información. Asegúrese también de tener credenciales válidas.

Mensaje de error

Imposible conectar con Kerberos V5 y proporcionar el servicio de encriptación

O 

Imposible conectar con Kerberos V5, mediante rlogin normal
Motivo

No ha sido posible establecer una sesión adaptada a Kerberos con el servicio adecuado ( kshell para rsh y rcp, eklogin o klogin para rlogin) en el servidor. Puede ser consecuencia de credenciales no válidas.

Solución

  1. Asegúrese de que sean válidas sus credenciales. Destruya sus cupones con kdestroy y cree otros nuevos con kinit.

  2. Asegúrese de que el sistema de destino tenga una tabla de claves con la versión correcta de la clave de servicio. Utilice kadmin(1M) para ver el número de versión de clave del principal de servicio (por ejemplo, host/nombre_sistema_completo) en la base de datos de Kerberos y utilice klist -k en el sistema de destino para asegurarse de que tenga el mismo número de versión de clave.

  3. Asegúrese de que hayan entradas para los servicios (klogin, eklogin y kshell) en el archivo /etc/inetd.conf del sistema de destino.

Mensaje de error

Indicador no válido para la modalidad de bloqueo de archivo
Motivo

Se ha producido un error interno de Kerberos.

Solución

Informe sobre el defecto.

Mensaje de error

Inhabilitados oodos los sistemas de autenticación; conexión rechazada
Motivo

Esta versión de rlogind no admite ningún mecanismo de autenticación.

Solución

Asegúrese de que se invoca a rlogind con la opción -k . De hecho, esto debe ser el valor predeterminado especificado en el archivo inetd.conf.

Mensaje de error

KDC no puede cumplir la opción solicitada
Motivo

KDC no ha permitido la opción solicitada. Un problema posible puede ser que se han solicitado las opciones de fecha futura o reenvío y KDC no lo ha permitido. Otro problema puede ser que ha solicitado la renovación de un TGT pero no tenía un TGT renovable.

Solución

Determine si solicita una opción no permitida por KDC o algo que no tiene.

Mensaje de error

Kerberos V5 rechaza la autenticación
Motivo

No ha sido posible negociar la autenticación con el servidor.

Solución

Inicie la depuración de la autenticación invocando al comando telnet toggle authdebug y observe los mensajes de depuración para obtener más información. Asegúrese también de tener credenciales válidas.

Mensaje de error

La clave maestra no concuerda con la base de datos
Motivo

El volcado de base de datos cargado no ha sido creado a partir de una base de datos que contenía la clave maestra, situada en /var/krb5/.k5.ÁMBITO.

Solución

Asegúrese de que la clave maestra del volcado de base de datos concuerda con la situada en /var/krb5/.k5.ÁMBITO.

Mensaje de error

La contraseña está en el diccionario de contraseñas
Motivo

La contraseña que ha escrito está en un diccionario de contraseñas que está en uso. No es una buena elección para una contraseña.

Solución

Elija una contraseña que tenga una mezcla de clases.

Mensaje de error

La cuenta de reintentos de des_read ha superado
Motivo

Se ha producido un error repetidamente al leer los datos.

Solución

Compruebe si hay otros problemas posibles en el sistema. Examine otros mensajes de syslog para obtener más pistas.

Mensaje de error

La encriptación no se negoció satisfactoriamente. Adiós.
Motivo

No ha sido posible negociar la encriptación.

Solución

Compruebe si hay mensajes de error en el archivo de registro del KDC.

Mensaje de error

La negociación de la autenticación no ha sido satisfactoria, cosa necesaria para la 
encriptación. Adiós.
Motivo

No ha sido posible negociar la autenticación con el servidor.

Solución

Inicie la depuración de la autenticación invocando al comando telnet toggle authdebug y observe los mensajes de depuración para obtener más información. Asegúrese también de tener credenciales válidas.

Mensaje de error

La norma de KDC rechaza la solicitud
Motivo

La norma de KDC no ha permitido la solicitud. Por ejemplo, la solicitud al KDC no tenía una dirección IP o se ha solicitado el reenvío pero KDC no lo ha permitido.

Solución

Asegúrese de que utiliza kinit con las opciones correctas. Si fuera necesario, modifique la norma asociada con el principal o cambie los atributos de éste para permitir la solicitud. Puede modificar la norma o el principal mediante kadmin(1M).

Mensaje de error

La operación necesita el privilegio "privilegio"
Motivo

El principal admin utilizado no tiene configurado el privilegio adecuado en el archivo kadm5.acl.

Solución

Utilice un principal que tenga los privilegios adecuados o configure el principal utilizado para que tenga los privilegios adecuados modificando el archivo kadm5.acl. Habitualmente, los principales con "/admin" como parte de su nombre tienen los privilegios adecuados.

Mensaje de error

La respuesta de KDC no concordó con lo que se esperaba
Motivo

La respuesta de KDC no contenía el nombre del principal esperado u otros valores de la respuesta eran incorrectos.

Solución

Asegúrese de que KDC con el que se comunica cumple RFC1510, de que la solicitud que envía es una solicitud de Kerberos V5 o de que esté disponible KDC.

Mensaje de error

La solicitud es una reproducción
Motivo

La solicitud ya se ha enviado a este servidor y se ha procesado. Puede que se hayan robado los cupones y otra persona esté intentando reutilizarlos.

Solución

Espere algunos minutos y vuelva a enviar la solicitud.

Mensaje de error

login: load_modules: no es posible abrir el módulo /usr/lib/security/pam_krb5.so.1
Motivo

Falta el módulo PAM de Kerberos o no es un binario ejecutable válido.

Solución

Asegúrese de que el módulo PAM de Kerberos está en /usr/lib/security y es un binario ejecutable válido. Asegúrese también de que /etc/pam.conf contiene la ruta correcta a pam_krb5.so.1.

Mensaje de error

major_error minor_error error de gssapi al importar un nombre
Motivo

Se ha producido un error al importar un nombre de servicio.

Solución

Asegúrese de que el principal de servicio host o ftp esté en el archivo de tabla de claves del sistema.

Mensaje de error

Mensaje fuera de orden
Motivo

Los mensajes que se han enviado mediante la privacidad de orden secuencial han llegado fuera de orden. Quizás se hayan perdido algunos mensajes por el camino.

Solución

Debe reinicializar la sesión de Kerberos.