4장 SEAM 오류 메시지와 문제 해결

이 장에서는 오류 메시지에 대한 해결책과 SEAM을 사용할 때 발생하는 여러 문제점에 대한 도움말을 제공합니다. 다음은 이 장에 포함된 오류 메시지와 문제 해결 정보의 목록입니다.

• "SEAM 관리 도구 오류 메시지"

• "일반적인 SEAM 오류 메시지(ㄱ-ㅅ)"

• "일반적인 SEAM 오류 메시지(ㅇ-ㅎ)"

• "파일krb5.conf형식 문제"

• "Kerberos 데이터베이스 전파 문제"

• "Kerberos 암호화를 지원하는 NFS 파일 시스템 마운트 문제"

• "루트 인증 문제"

SEAM 오류 메시지

이 절에서는 오류 발생 원인과 해결책 등의 SEAM 오류 메시지에 대한 정보를 제공합니다.

SEAM 관리 도구 오류 메시지

오류 메시지

주체나 정책 목록을 볼 수 없습니다. "이름" 필드를 사용하십시오.

발생 원인

로그온한 admin 주체가 Kerberos ACL 파일(kadm5.acl)에 조회 권한(l)이 없기 때문에 주체나 정책 목록을 볼 수 없습니다.

해결책

작업을 수행하려면 "이름" 필드에 주체와 정책 이름을 입력하거나, 적절한 권한이 있는 주체로 로그온해야 합니다.

오류 메시지

JNI: Java 배열 작성 실패 JNI: Java 클래스 조회 실패 JNI: Java 필드 조회 실패 JNI: Java 방법 조회 실패 JNI: Java 객체 조회 실패 JNI: Java 객체 필드 조회 실패 JNI: Java 문자열 액세스 실패 JNI: Java 문자열 작성 실패

발생 원인

SEAM 관리 도구(gkadmin)에서 사용하는 Java Native Interface에 심각한 문제가 있습니다.

해결책

gkadmin을 종료하고 다시 시작하십시오. 만약 문제가 계속되면 버그를 알려 주십시오.

일반적인 SEAM 오류 메시지(ㄱ-ㅅ)

이 절에서는 SEAM 명령, SEAM 데몬, PAM 프레임워크, GSS 인터페이스, Kerberos 라이브러리에 대한 일반적인 오류 메시지들을 가나다순(ㄱ-ㅅ)으로 설명합니다.

오류 메시지

major_error minor_error 이름 가져오기 gssapi 오류

발생 원인

서비스 이름을 가져오는 중 오류가 발생했습니다.

해결책

host나 ftp 서비스 주체가 호스트의 키 테이블 파일에 있는지 확인합니다.

오류 메시지

모든 인증 시스템이 비활성화되었습니다. 연결이 거부됩니다.

발생 원인

현재 사용하고 있는 rlogind 버전이 인증 메커니즘을 전혀 지원하지 않습니다.

해결책

-k 옵션을 사용하여 rlogind를 호출했는지 확인합니다. 이 옵션은 inetd.conf 파일에 기본적으로 설정되어 있습니다.

오류 메시지

이 호스트에 액세스하려면 다른 인증 메커니즘을 사용해야 합니다.

발생 원인

인증을 받을 수 없습니다.

해결책

클라이언트에서 인증을 위해 Kerberos V5를 사용하는지 확인하십시오.

오류 메시지

인증 협상이 실패했습니다. 이 인증은 암호화에 필요합니다. 종료합니다.

발생 원인

서버와 인증을 협상할 수 없습니다.

해결책

telnet 명령인 toggle authdebug를 호출하여 인증 디버깅을 시작하고 디버그 메시지에서 원인을 찾습니다. 또한, 유효한 증명서를 갖고 있는지 확인합니다.

오류 메시지

잘못된 krb5 admin 서버 호스트 이름 kadmin 인터페이스를 초기화하는 중

발생 원인

krb5.conf 파일에서 admin 서버(마스터 KDC)에 유효하지 않은 호스트 이름이 설정되었습니다.

해결책

krb5.conf 파일에서 admin 서버(마스터 KDC)에 적합한 호스트 이름이 설정되어 있는지 확인하십시오.

오류 메시지

요청한 영역에 대한 KDC를 연결할 수 없습니다.

발생 원인

요청한 영역의 KDC가 응답하지 않습니다.

해결책

적어도 한 개 이상의 KDC(마스터 또는 슬레이브)가 사용 가능하거나 krb5kdc 데몬이 KDC에서 실행 중인지 확인하십시오. /etc/krb5/krb5.conf에서 구성된 KDC(kdc = kdc_name) 목록을 찾아보십시오.)

오류 메시지

호스트에 대한 영역을 정의할 수 없습니다.

발생 원인

Kerberos에서 호스트의 영역 이름을 결정할 수 없습니다.

해결책

기본 영역 이름이나 도메인 이름 매핑이 Kerberos 구성 파일(krb5.conf)에 구성되어 있는지 확인하십시오.

오류 메시지

네트워크를 암호화하거나 쓸 수 없습니다.

발생 원인

데이터를 암호화하는 중에 문제가 발생했습니다.

해결책

시스템에 다른 문제가 없는지 확인합니다. 다른 syslog 메시지를 검토하여 원인을 분석합니다.

오류 메시지

요청한 영역에 대한 KDC를 찾을 수 없습니다.

발생 원인

요청한 영역에 KDC가 없습니다.

해결책

Kerberos 구성 파일(krb5.conf)의 realm 섹션에서 KDC를 지정했는지 확인하십시오.

오류 메시지

realm_name 영역을 초기화할 수 없습니다.realm_name

발생 원인

KDC에 stash 파일이 없습니다.

해결책

KDC에 stash 파일이 있는지 확인하십시오. stash 파일이 없으면 kdb5_util(1M) 명령으로 stash 파일을 작성한 후 다시 krb5kdc(/etc/init.d/kdc)를 실행합니다.

오류 메시지

요청한 영역에 대해 KDC를 해결할 수 없습니다.

발생 원인

Kerberos에서 해당 영역에 KDC를 지정할 수 없습니다.

해결책

Kerberos 구성 파일(krb5.conf)의 realm 섹션에서 KDC를 지정했는지 확인하십시오.

오류 메시지

암호를 다시 사용할 수 없습니다.

발생 원인

이전에 이 주체가 사용한 적이 있는 암호를 입력했습니다.

해결책

이전에 사용한 적이 없는 암호를 선택하십시오. 각 주체의 KDC 데이터베이스에 보관되어 있는 암호를 지정해서는 안됩니다(주체의 정책에 따라 지정됨).

오류 메시지

전송된 증명서를 받을 수 없습니다.

발생 원인

증명서 전송 작업을 수행할 수 없습니다.

해결책

주체가 전송 가능한 증명서를 갖고 있는지 확인하십시오.

오류 메시지

Kerberos 구성 파일을 열거나 찾을 수 없습니다.

발생 원인

Kerberos 구성 파일(krb5.conf)을 사용할 수 없습니다.

해결책

krb5.conf 파일의 위치가 정확하고 적합한 권한을 가지고 있는지 확인하십시오. 이 파일은 루트 권한으로 쓰기가 가능하고 모든 사용자가 읽을 수 있어야 합니다.

오류 메시지

클라이언트에서 필요한 검사 합계를 지원하지 않아 연결이 거부되었습니다.

발생 원인

검사 합계를 포함하는 인증이 클라이언트와 협상되지 않았습니다. 클라이언트가 초기 연결을 지원하지 않는 이전 Kerberos V5 프로토콜을 사용하고 있습니다.

해결책

클라이언트가 초기 연결을 지원하는 Kerberos V5 프로토콜을 사용하는지 확인합니다.

오류 메시지

클라이언트/서버 영역이 초기 티켓 요청에서 일치하지 않습니다.

발생 원인

초기 티켓 요청에서 클라이언트와 서버 간에 영역이 일치하지 않습니다.

해결책

연결 중인 서버가 클라이언트와 동일한 영역에 있거나 영역 구성이 정확한지 확인하십시오.

오류 메시지

클라이언트 또는 서버에 null 키가 있습니다.

발생 원인

주체가 null 키를 갖고 있습니다.

해결책

kadmin(1M)의 cpw 명령을 사용하여 주체가 널 키 값을 갖지 않도록 수정합니다.

오류 메시지

서버와의 통신 오류 kadmin 인터페이스를 초기화하는 중

발생 원인

admin 서버(마스터 KDC)에 입력한 호스트에서 kadmind를 실행하고 있지 않습니다.

해결책

마스터 KDC에 정확한 호스트 이름을 지정했는지 확인하십시오. 호스트 이름을 제대로 지정했다면 지정한 마스터 KDC에서 kadmind가 실행 중인지 확인하십시오.

오류 메시지

구성 오류: -c 옵션을 지정한 검사 합계가 필요한 것은 Kerberos V4 연결을 허용하는 것과 모순됩니다.

발생 원인

검사 합계를 포함하는 인증이 클라이언트와 협상되지 않았습니다. 클라이언트가 초기 연결을 지원하지 않는 이전 Kerberos V5 프로토콜을 사용하고 있습니다.

해결책

클라이언트가 초기 연결을 지원하는 Kerberos V5 프로토콜을 사용하는지 확인합니다.

오류 메시지

증명서 캐시 파일 권한이 잘못되었습니다.

발생 원인

증명서 캐시(/tmp/krb5cc_uid)에 적절한 읽기 또는 쓰기 권한이 없습니다.

해결책

증명서 캐시에 읽기와 쓰기 권한을 가지고 있는지 확인하십시오.

오류 메시지

증명서 캐시 입출력 작업이 실패했습니다.XXX

발생 원인

Kerberos가 시스템의 증명서 캐시(/tmp/krb5cc_uid)에 쓰기 작업을 수행하는 데 문제가 있습니다.

해결책

증명서 캐시가 삭제되지 않았고 장치에 여유 공간이 있는지, df 명령으로 확인하십시오.

오류 메시지

해독 무결성 확인에 실패했습니다.

발생 원인

티켓이 유효하지 않습니다.

해결책

1. 증명서가 유효한지 확인합니다. kdestroy 명령으로 티켓을 삭제하고 kinit 명령으로 새로운 티켓을 만드십시오.

2. 대상 호스트의 키 테이블에 적합한 버전의 서비스 키가 있는지 확인합니다. kadmin(1M)을 사용하면 Kerberos 데이터베이스에서 서비스 주체의 키 버전 번호(예: host/FQDN_hostname)를 확인할 수 있습니다. 또한 klist -k를 사용하여 대상 호스트가 이와 동일한 키 버전 번호를 갖고 있는지 확인합니다.

오류 메시지

des_read 재시도 횟수를 초과했습니다.

발생 원인

데이터를 읽는 중 오류가 반복해서 발생했습니다.

해결책

시스템에 다른 문제가 없는지 확인합니다. 다른 syslog 메시지를 검토하여 원인을 분석합니다.

오류 메시지

df: statvfs를 수행할 수 없습니다.filesystem: 잘못된 인수

발생 원인

df 명령은 적절한 루트 증명서를 가지고 있지 않기 때문에 보고서를 작성하기 위해 현재 마운트된, Kerberos 암호화를 지원하는 NFS 파일 시스템에 액세스할 수 없습니다. 마운트된, Kerberos 암호화를 지원하는 파일 시스템 증명서를 삭제해도 파일 시스템은 자동으로 언마운트되지 않습니다.

해결책

Kerberos 암호화를 지원하는 파일 시스템에 액세스하려면 새로운 루트 증명서를 만들어야 합니다. Kerberos 암호화를 지원하는 파일 시스템에 더 이상 액세스할 필요가 없으면 파일 시스템을 언마운트하십시오.

오류 메시지

암호화를 활성화할 수 없습니다. 종료합니다.

발생 원인

서버와 암호화를 협상할 수 없습니다.

해결책

telnet 명령인 toggle encdebug를 호출하여 인증 디버깅을 시작하고 디버그 메시지에서 원인을 찾습니다.

오류 메시지

암호화가 성공적으로 협상되지 않았습니다. 종료합니다.

발생 원인

암호화가 협상되지 않았습니다.

해결책

KDC 로그 파일에서 오류 메시지를 확인합니다.

오류 메시지

증명서 캐시의 끝에 도달했습니다.

발생 원인

증명서 캐시(/tmp/krb5cc_uid)를 읽는 중에 오류가 발생했습니다.

해결책

증명서 캐시가 읽을 수 있는 상태이고 데이터가 포함되어 있는지 확인하십시오.

오류 메시지

증명서 캐시를 얻을 수 없음

발생 원인

kadmin 초기화 과정에서 admin 주체의 증명서를 얻으려 할 때 오류가 발생했습니다.

해결책

kadmin을 실행할 때 정확한 주체와 암호를 사용했는지 확인하십시오.

오류 메시지

이 실행에 비해 필드가 너무 깁니다.

발생 원인

Kerberos 암호화를 지원하는 응용 프로그램에서 전송된 메시지 크기가 너무 큽니다. Kerberos에서 처리될 수 있는 최대 메시지 크기는 65535바이트입니다. 또한 Kerberos에서 전송된 프로토콜 메시지의 각 필드에는 크기 제한이 있습니다.

해결책

Kerberos 암호화를 지원하는 응용 프로그램에서 유효한 메시지 크기를 전송하는지 확인하십시오.

오류 메시지

GSS-API(또는 Kerberos) 오류

발생 원인

일반 GSS-API 오류나 Kerberos 오류 메시지로서 여러 가지 발생 원인이 있습니다.

해결책

/etc/krb5/kdc.log 파일에서 오류가 발생했을 때 기록된 자세한 GSS-API 오류 메시지를 확인합니다.

오류 메시지

호스트 이름을 정규화할 수 없습니다.

발생 원인

Kerberos에서 전체 호스트 이름을 인식할 수 없습니다.

해결책

호스트 이름이 DNS에 있고 호스트 이름과 주소, 주소와 호스트 이름 간의 매핑이 일관되게 이루어졌는지 확인하십시오.

오류 메시지

영역 간 티켓이 잘못되었습니다.

발생 원인

전송된 티켓은 적합한 영역간 관계를 갖고 있지 않습니다. 영역들 간에 적합한 트러스트 관계가 설정되어 있지 않습니다.

해결책

사용 중인 영역이 적합한 트러스트 관계를 가지고 있는지 확인하십시오.

오류 메시지

Kerberos 구성 파일의 형식이 잘못되었습니다.

발생 원인

Kerberos 구성 파일(krb5.conf)에 유효하지 않은 항목이 있습니다.

해결책

krb5.conf 파일에서 모든 관계는 다음에 "=" 기호와 값이 나오고 각 하위 섹션에서 괄호 짝이 맞는지 확인하십시오.

오류 메시지

메시지에 잘못된 유형의 검사 합계가 있습니다.

발생 원인

메시지에 유효하지 않은 검사 합계 유형이 있습니다.

해결책

krb5.conf와 kdc.conf 파일에 지정된 검사 합계 유형이 유효한지를 확인하십시오.

오류 메시지

네트워크 주소가 잘못되었습니다.

발생 원인

네트워크 주소가 일치하지 않습니다. 티켓이 전송된 네트워크 주소와 티켓이 처리된 네트워크 주소가 다릅니다. 티켓 전송 시 이러한 오류가 발생할 수 있습니다.

해결책

네트워크 주소가 정확한지 확인하십시오. kdestroy 명령으로 기존 티켓을 삭제한 후, kinit 명령으로 새로운 티켓을 만드십시오.

오류 메시지

파일 잠금 모드에 대한 플래그가 잘못되었습니다.

발생 원인

Kerberos 내부 오류가 발생했습니다.

해결책

버그를 보고하십시오.

오류 메시지

잘못된 메시지 유형이 인코딩에 지정되었습니다.

발생 원인

Kerberos에서 Kerberos 암호화를 지원하는 응용 프로그램에서 전송된 메시지 유형을 인식하지 못합니다.

해결책

공급업자나 사용자의 사이트에서 직접 개발된 Kerberos 암호화 지원 응용 프로그램을 사용 중일 경우, 이들 프로그램에서 Kerberos가 제대로 사용되었는지 확인하십시오.

오류 메시지

문자 클래스 수가 잘못되었습니다.

발생 원인

입력한 주체의 암호에는 해당 주체의 정책에 지정된 암호 클래스 개수가 포함되어 있지 않습니다.

해결책

정책에 지정된 최소 암호 클래스 개수를 가진 암호를 입력했는지 확인하십시오.

오류 메시지

KADM err: 메모리 할당 실패

발생 원인

kadmin을 실행하기에 메모리가 부족합니다.

해결책

메모리를 늘린 후 kadmin 명령을 다시 실행하십시오.

오류 메시지

KDC에서 요청한 옵션을 실행할 수 없습니다.

발생 원인

KDC에서 요청된 옵션을 허용하지 않았습니다. 날짜를 늦춰 적는 옵션이나 전송 옵션을 요청했지만 KDC에서 이를 허용하지 않으면 이러한 문제가 발생합니다. 또는 TGT의 갱신을 요청했으나 갱신 가능한 TGT를 갖고 있지 않을 경우에도 이러한 문제가 발생합니다.

해결책

KDC에서 허용되지 않는 옵션을 요청했거나 사용자에게 해당되지 않는 사항을 요청했는지 확인하십시오.

오류 메시지

KDC 정책이 요청을 거부했습니다.

발생 원인

KDC 정책에서 요청을 허용하지 않습니다. 예를 들어, 요청에 IP 주소가 포함되어 있지 않거나 요청된 전송을 KDC가 허용하지 않을 경우입니다.

해결책

kinit 명령을 적합한 옵션과 함께 사용 중인지 확인하십시오. 필요하다면 요청을 허용하도록 주체와 관련된 정책을 수정하거나 주체의 속성을 변경합니다. kadmin(1M)을 사용하여 정책이나 주체를 수정할 수 있습니다.

오류 메시지

KDC 응답이 예상과 일치하지 않습니다.

발생 원인

KDC 응답에 예상한 주체 이름이 없거나 응답에 포함된 값이 정확하지 않습니다.

해결책

연결 중인 KDC가 RFC1510 사양을 따르고, 전송한 요청이 Kerberos V5 요청이며, KDC가 사용 가능한 상태인지를 확인하십시오.

오류 메시지

Kerberos V5에서 인증을 거부했습니다.

발생 원인

서버와 인증을 협상할 수 없습니다.

해결책

telnet명령인 toggle authdebugtart를 호출하여 인증 디버깅을 시작하고 디버그 메시지에서 원인을 찾습니다. 또한, 유효한 증명서를 갖고 있는지 확인합니다.

오류 메시지

키 테이블 항목을 찾을 수 없습니다.

발생 원인

네트워크 응용 프로그램 서버의 키 테이블에 서비스 주체에 대한 항목이 없습니다.

해결책

Kerberos 암호화 지원 서비스를 제공할 수 있도록 적절한 서비스 주체를 서버의 키 테이블에 추가합니다.

오류 메시지

키 테이블의 주체에 대한 키 버전 번호가 잘못되었습니다.

발생 원인

키 테이블과 Kerberos 데이터베이스에 있는 주체의 키 버전이 각기 다릅니다. 서비스의 키가 변경되었거나 이전 서비스 티켓을 사용 중입니다.

해결책

만약 서비스의 키가 변경되었다면(예: kadmin 사용) 새로운 키를 추출하여 서비스가 실행 중인 호스트의 키 테이블에 저장해야 합니다.

이전 키가 포함된 이전 서비스 티켓을 사용 중일 경우 kdestroy와 kinit를 차례로 사용하십시오.

오류 메시지

login: load_modules: /usr/lib/security/pam_krb5.so.1 모듈을 열 수 없습니다.

발생 원인

Kerberos PAM 모듈이 없거나 실행 가능한 이진 파일이 아닙니다.

해결책

Kerberos PAM 모듈이 /usr/lib/security에 있고 실행 가능한 이진 파일인지 확인하십시오. 또한 /etc/pam.conf에 pam_krb5.so.1의 정확한 경로가 포함되어 있는지 확인하십시오.

오류 메시지

krb5_get_in_tkt 내부에서 루프가 발견되었습니다.

발생 원인

Kerberos에서 여러 번 초기 티켓을 얻으려 했으나 실패했습니다.

해결책

한 개 이상의 KDC가 인증 요청에 응답하고 있는지 확인하십시오.

오류 메시지

마스터 키가 데이터베이스와 일치하지 않습니다.

발생 원인

로드된 데이터베이스 덤프는 /var/krb5/.k5.REALM에 있는 마스터 키가 포함된 데이터베이스에서 작성되지 않았습니다.

해결책

로드된 데이터베이스 덤프에 있는 마스터 키가 /var/krb5/.k5.REALM에 있는 마스터 키와 일치하는지 확인하십시오.

오류 메시지

일치하는 증명서를 찾을 수 없습니다.

발생 원인

요청에 대해 일치하는 증명서가 없습니다. 증명서 캐시에 없는 증명서를 요청했습니다.

해결책

kdestroy 명령으로 기존 티켓을 삭제한 후 kinit 명령으로 새로운 티켓을 만드십시오.

오류 메시지

메시지가 잘못되었습니다.

발생 원인

순차 방식 프라이버시를 사용하여 전송된 메시지가 잘못 도착했습니다. 전송 과정에서 일부 메시지가 분실되었을 수도 있습니다.

해결책

Kerberos 세션을 다시 초기화해야 합니다.

오류 메시지

메시지 스트림이 수정되었습니다.

발생 원인

계산된 검사 합계와 메시지 검사 합계가 일치하지 않습니다. 메시지가 전송 과정에서 수정되었을 수도 있으므로 보안에 문제가 있을 수 있습니다.

해결책

메시지가 네트워크에서 제대로 전송되었는지 확인하십시오. 메시지가 전송 중 템퍼링되었을 수도 있으므로, kdestroy 명령으로 기존 티켓을 삭제한 후 사용 중인 Kerberos 서비스를 다시 초기화하십시오.

일반적인 SEAM 오류 메시지(ㅇ-ㅎ)

이 절에서는 SEAM 명령어, SEAM 데몬, PAM 프레임워크, Kerberos 라이브러리에 대한 일반적인 오류 메시지들을 가나다순(ㅇ-ㅎ)으로 설명합니다.

오류 메시지

인증 시스템이 활성화되지 않았습니다. 모든 연결이 거부됩니다.

발생 원인

사용 중인 rlogind 버전이 인증 메커니즘을 지원하지 않습니다.

해결책

-k 옵션을 사용하여 rlogind를 호출했는지 확인하십시오. 이 옵션은 inetd.conf 파일에 기본적으로 설정되어 있습니다.

오류 메시지

증명서 캐시 파일이 없습니다.

발생 원인

Kerberos에서 증명서 캐시 파일(/tmp/krb5cc_uid)을 찾을 수 없습니다.

해결책

증명서 파일이 있고, 읽을 수 있는지 확인하십시오. 그렇지 않으면 kinit를 다시 실행하십시오.

오류 메시지

이 작업을 하려면"privilege"권한이 필요합니다.

발생 원인

사용될 admin 주체는 kadm5.acl 파일에 적합한 권한이 구성되어 있지 않습니다.

해결책

적절한 권한이 있는 주체를 사용하거나 kadm5.acl 파일을 수정하여 사용될 주체가 적절한 권한을 갖도록 구성합니다. 보통 이름에 "/admin"이 포함된 주체는 적절한 권한이 있습니다.

오류 메시지

PAM-KRB5: Kerberos V5 인증 실패: 암호가 잘못되었습니다.

발생 원인

사용 중인 UNIX 암호와 Kerberos 암호가 다릅니다. login 등의 Kerberos 암호화를 지원하지 않는 대부분의 명령어는 Unix 암호와 동일한 암호를 사용하여 자동으로 Kerberos에 인증 받도록 PAM을 통해 설정됩니다. 따라서 암호가 서로 다르면 Kerberos 인증이 실패합니다.

해결책

암호를 입력하라는 메시지가 나타나면 Kerberos 암호를 입력합니다.

오류 메시지

암호 사전에 암호가 있습니다.

발생 원인

입력한 암호가 암호 사전에서 사용되는 것입니다. 이러한 암호는 선택하지 않는 것이 좋습니다.

해결책

여러 암호 클래스가 포함된 암호를 선택하십시오.

오류 메시지

재생 캐시 코드에서 권한이 거부되었습니다.

발생 원인

시스템의 응답 캐시가 열리지 않습니다. 서버를 현재 사용자 ID가 아닌 다른 사용자 ID로 처음 실행했습니다.

해결책

응답 캐시에 적절한 권한이 있는지 확인하십시오. 응답 캐시(/usr/tmp/rc_service_name)는 Kerberos 암호화를 지원하는 서버 응용 프로그램이 실행 중인 호스트에 저장됩니다. 현재 응답 캐시에서 권한을 변경하는 대신, 응답 캐시를 삭제한 후 Kerberos 암호화를 지원하는 서버를 다른 사용자 ID로 실행할 수도 있습니다.

오류 메시지

프로토콜 버전이 일치하지 않습니다.

발생 원인

Kerberos V4 요청이 KDC로 전송되었습니다. SEAM은 Kerberos V5 프로토콜만 지원합니다.

해결책

응용 프로그램에서 Kerberos V5 프로토콜을 사용하는지 확인합니다.

오류 메시지

요청이 재생되었습니다.

발생 원인

해당 요청은 이 서버에 이미 전송되어 처리되었습니다. 티켓을 도난 당했거나 누군가 티켓을 재사용하려고 했습니다.

해결책

몇 분 후 요청을 다시 실행하십시오.

오류 메시지

요청한 주체 및 티켓이 일치하지 않습니다.

발생 원인

현재 연결 중인 서비스 주체와 서비스 티켓이 일치하지 않습니다.

해결책

DNS가 제대로 작동 중인지 확인하십시오. 다른 공급업자의 소프트웨어를 사용 중일 경우 주체 이름이 정확한지 확인하십시오.

오류 메시지

요청한 프로토콜 버전이 지원되지 않습니다.

발생 원인

Kerberos V4 요청이 KDC로 전송되었습니다. SEAM은 Kerberos V5 프로토콜만 지원합니다.

해결책

응용 프로그램에서 Kerberos V5 프로토콜을 사용하는지 확인합니다.

오류 메시지

krb5.conf에 필수 매개변수가 빠졌습니다. kadmin 인터페이스를 초기화하는 중

발생 원인

kr5.conf 파일에 빠진 매개변수(예:admin_server 매개변수)가 있습니다.

해결책

빠진 매개변수를 확인하여 이를 krb5.conf에 추가하십시오.

오류 메시지

서버에서 인증 협상을 거부했습니다. 종료합니다.

발생 원인

서버와 암호화를 협상할 수 없습니다.

해결책

telnet명령인 toggle encdebugtart를 호출하여 인증 디버깅을 시작하고 디버그 메시지에서 원인을 찾습니다.

오류 메시지

서버에서 (sendauth 교환 중) 인증을 거부했습니다.

발생 원인

연결하려는 서버에서 인증을 거부했습니다. 이러한 오류는 Kerberos 데이터베이스를 전파하는 과정에서 발생합니다. kpropd.acl 파일이나 DNS, 키 테이블에 일반적인 문제가 있을 수 있습니다.

해결책

kprop 이외의 다른 응용 프로그램을 실행할 때 이런 오류가 발생하면 서버의 키 테이블이 정확한지 확인하십시오.

오류 메시지

사용 대상 티켓이 아닙니다. 또는 티켓/인증자가 일치하지 않습니다.

발생 원인

티켓과 인증자가 일치하지 않습니다. 티켓은 주체의 FQDN으로 전송되었으나 해당 서비스에서 FQDN이 아닌 이름을 예상하거나 그 반대의 경우가 있을 수 있으므로, 요청에 포함된 주체 이름이 서비스 주체의 이름과 일치하지 않을 수도 있습니다.

해결책

사용 중인 서비스 주체가 정확한지 확인하십시오.

오류 메시지

티켓이 만기되었습니다.

발생 원인

티켓의 유효 기간이 만료되었습니다.

해결책

kdestroy 명령으로 기존 티켓을 삭제하고 kinit 명령으로 새로운 티켓을 만드십시오.

오류 메시지

유효 기간 후에는 티켓을 사용할 수 없습니다.

발생 원인

주체는 유효 기간이 지난 티켓을 허용하지 않습니다.

해결책

kadmin(1M)으로 주체를 수정하여 유효 기간이 지난 티켓도 허용하도록 합니다.

오류 메시지

티켓이 아직 유효하지 않습니다.

발생 원인

날짜를 늦춰 적은 티켓을 아직 사용할 수 없습니다.

해결책

필요한 날짜로 새로운 티켓을 만들거나 현재 티켓을 사용할 수 있을 때까지 기다립니다.

오류 메시지

입력 파일이 잘렸습니다.

발생 원인

작업에 사용되는 데이터베이스 덤프 파일이 완전한 덤프 파일이 아닙니다.

해결책

덤프 파일을 새로 만들거나 다른 데이터베이스 덤프 파일을 사용하십시오.

오류 메시지

Kerberos V5에 연결하여 암호화 서비스를 제공할 수 없습니다. 또는 일반 rlogin을 사용하여 Kerberos V5에 연결할 수 없습니다.

발생 원인

서버에서 해당 서비스(rsh와 rcp용 kshell, rlogin용eklogin이나 klogin)를 사용하여 Kerberos 암호화 지원 세션을 설정할 수 없습니다. 이것은 유효하지 않은 증명서 때문일 수도 있습니다.

해결책

1. 증명서가 유효한지 확인합니다. kdestroy 명령으로 기존 티켓을 삭제하고 kinit 명령으로 새로운 티켓을 만드십시오.

2. 대상 호스트의 키 테이블에 적합한 버전의 서비스 키가 있는지 확인합니다. kadmin(1M)을 사용하면 Kerberos 데이터베이스에서 서비스 주체의 키 버전 번호(예: host/FQDN_hostname)를 확인할 수 있습니다. 또한 klist -k를 사용하여 대상 호스트가 이와 동일한 키 버전 번호를 갖고 있는지 확인합니다.

3. 대상 호스트의 /etc/inetd.conf에 서비스에 대한 항목(klogin, eklogin, kshell)이 있는지 확인하십시오.

오류 메시지

사용자를 안전하게 인증할 수 없어 종료합니다.

발생 원인

서버와 인증을 협상할 수 없습니다.

해결책

telnet 명령인 toggle authdebugtart를 호출하여 인증 디버깅을 시작하고 디버그 메시지에서 원인을 찾습니다. 또한, 유효한 증명서를 갖고 있는지 확인합니다.

오류 메시지

요청의 주체가 잘못되었습니다.

발생 원인

티켓에 유효하지 않은 주체 이름이 있습니다. DNS나 FQDN 문제일 수 있습니다.

해결책

서비스 주체가 티켓에 있는 주체와 일치하는지 확인하십시오.

오류 메시지

검사 합계를 지원하지 않는 이전 Kerberos5를 사용하고 있습니다. 새로운 클라이언트만 인증됩니다.

발생 원인

검사 합계를 포함하는 인증이 클라이언트와 협상되지 않았습니다. 클라이언트가 초기 연결을 지원하지 않는 이전 Kerberos V5 프로토콜을 사용하고 있습니다.

해결책

클라이언트가 초기 연결을 지원하는 Kerberos V5 프로토콜을 사용하는지 확인합니다.

SEAM 문제 해결

이 절에서는 SEAM 소프트웨어에 대한 문제 해결 정보를 제공합니다.

파일krb5.conf형식 문제

krb5.conf 파일의 형식이 잘못되어 있으면 telnet 명령을 사용할 수 없습니다. 하지만 dtlogin, login 명령은 해당 명령을 실행하기 위해 krb5.conf 파일이 필요한 경우라도 계속 사용할 수 있습니다. 이런 경우 다음과 같은 오류 메시지가 나타납니다.

krb5 초기화 오류: Kerberos 구성 파일의 형식이 잘못되었습니다.

krb5.conf 파일의 형식에 문제가 있으면 보안 문제가 발생할 수 있으므로, SEAM 기능을 사용하기 전에 이 문제를 먼저 해결해야 합니다.

Kerberos 데이터베이스 전파 문제

Kerberos 데이터베이스를 전파하는 데 실패할 경우 슬레이브 KDC와 마스터 KDC간에 /usr/krb5/bin/rlogin -x를 시도해 보십시오.

KDC가 액세스를 제한하도록 설정되어 있으면 rlogin이 비활성화되어 이 문제를 해결하는 데 사용할 수 없습니다. KDC에서 rlogin을 활성화하려면 /etc/inetd.conf 파일에서 eklogin 항목의 주석 처리를 취소한 다음 inetd를 다음과 같이 재시작하십시오.

# ps -eaf | grep inetd       inetd의 프로세스 ID가 표시됩니다.
# kill -1 pid_of_inetd

문제가 해결되면 inetd.conf 파일을 다시 원래의 상태로 변경한 다음 inetd를 재시작하십시오.

만약 rlogin 명령을 사용할 수 없으면 KDC에 있는 키 테이블에 문제가 있을 수도 있습니다. 하지만 rlogin 명령을 사용할 수 있다면, rlogin 명령과 전파 소프트웨어는 동일한 host/host_name 주체를 사용하므로 키 테이블이나 이름 서비스에 문제가 있는 것은 아닙니다. 이런 경우 kpropd.acl 파일이 정확한지 확인하십시오.

Kerberos 암호화를 지원하는 NFS 파일 시스템 마운트 문제

• Kerberos 암호화를 지원하는 NFS 파일 시스템의 마운트가 실패할 경우 /var/tmp/rc_nfs 파일이 NFS 서버에 있는지 확인하십시오. 만약 소유자가 루트가 아니라면 이를 삭제하고 다시 마운트하십시오.

• Kerberos 암호화를 지원하는 NFS 파일 시스템을 액세스할 때 문제가 발생하면 사용 중인 시스템과 NFS 서버의 inetd.conf 파일에 gssd 항목이 있는지 확인하십시오.

• Kerberos 암호화를 지원하는 NFS 파일 시스템을 액세스할 때 잘못된 인수나 잘못된 디렉토리 오류 메시지가 나타난다면, NFS 파일 시스템을 마운트할 때 전체 DNS 이름을 사용하지 않았기 때문입니다. 즉, 마운트되는 호스트가 서버의 키 테이블에 있는 서비스 주체의 호스트 이름 부분과 일치하지 않습니다.

  이러한 문제는 서버에 여러 개의 이더넷 인터페이스가 있을 때 DNS에서 "호스트당 복수 주소 레코드" 방법을 사용하는 대신 "각 인터페이스별 이름"을 사용하도록 설정할 경우에도 발생합니다. SEAM을 사용할 경우, 다음과 같이 호스트당 복수 주소 레코드를 설정해야 합니다. [ Ken Hornstein, "Kerberos FAQ," [http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html], 1998년 12월 11일 액세스. ] :

  my.host.name.   A       1.2.3.4
                   A       1.2.4.4
                   A       1.2.5.4
  
  my-en0.host.name.       A       1.2.3.4
  my-en1.host.name.       A       1.2.4.4
  my-en2.host.name.       A       1.2.5.4
  4.3.2.1         PTR     my.host.name.
  4.4.2.1         PTR     my.host.name.
  4.5.2.1         PTR     my.host.name.

이 예에서와 같이, 여러 인터페이스에 대해 한 개의 참조를 설정할 수 있고 서버의 키 테이블에서 세 개의 서비스 주체가 아닌 단일 서비스를 사용할 수 있습니다.

루트 인증 문제

호스트의 키 테이블에 루트 주체를 추가하였으나 사용자의 시스템에서 수퍼 유저가 되려고 할 때 인증이 실패하면 다음 두 가지 문제를 확인해야 합니다. 먼저 키 테이블에 있는 루트 주체가 인스턴스로서 전체 이름을 가지고 있는지 확인하십시오. 만약 그렇다면 /etc/resolv.conf 파일을 검사하여 시스템이 DNS 클라이언트로 제대로 설정되었는지 확인하십시오.