일반적인 SEAM 오류 메시지(ㅇ-ㅎ)
이 절에서는 SEAM 명령어, SEAM 데몬, PAM 프레임워크, Kerberos 라이브러리에 대한 일반적인 오류 메시지들을 가나다순(ㅇ-ㅎ)으로 설명합니다.
- 오류 메시지
-
인증 시스템이 활성화되지 않았습니다. 모든 연결이 거부됩니다.
- 발생 원인
-
사용 중인 rlogind 버전이 인증 메커니즘을 지원하지 않습니다.
- 해결책
-
-k 옵션을 사용하여 rlogind를 호출했는지 확인하십시오. 이 옵션은 inetd.conf 파일에 기본적으로 설정되어 있습니다.
- 오류 메시지
-
증명서 캐시 파일이 없습니다.
- 발생 원인
-
Kerberos에서 증명서 캐시 파일(/tmp/krb5cc_uid)을 찾을 수 없습니다.
- 해결책
-
증명서 파일이 있고, 읽을 수 있는지 확인하십시오. 그렇지 않으면 kinit를 다시 실행하십시오.
- 오류 메시지
-
이 작업을 하려면"privilege"권한이 필요합니다.
- 발생 원인
-
사용될 admin 주체는 kadm5.acl 파일에 적합한 권한이 구성되어 있지 않습니다.
- 해결책
-
적절한 권한이 있는 주체를 사용하거나 kadm5.acl 파일을 수정하여 사용될 주체가 적절한 권한을 갖도록 구성합니다. 보통 이름에 "/admin"이 포함된 주체는 적절한 권한이 있습니다.
- 오류 메시지
-
PAM-KRB5: Kerberos V5 인증 실패: 암호가 잘못되었습니다.
- 발생 원인
-
사용 중인 UNIX 암호와 Kerberos 암호가 다릅니다. login 등의 Kerberos 암호화를 지원하지 않는 대부분의 명령어는 Unix 암호와 동일한 암호를 사용하여 자동으로 Kerberos에 인증 받도록 PAM을 통해 설정됩니다. 따라서 암호가 서로 다르면 Kerberos 인증이 실패합니다.
- 해결책
-
암호를 입력하라는 메시지가 나타나면 Kerberos 암호를 입력합니다.
- 오류 메시지
-
암호 사전에 암호가 있습니다.
- 발생 원인
-
입력한 암호가 암호 사전에서 사용되는 것입니다. 이러한 암호는 선택하지 않는 것이 좋습니다.
- 해결책
-
여러 암호 클래스가 포함된 암호를 선택하십시오.
- 오류 메시지
-
재생 캐시 코드에서 권한이 거부되었습니다.
- 발생 원인
-
시스템의 응답 캐시가 열리지 않습니다. 서버를 현재 사용자 ID가 아닌 다른 사용자 ID로 처음 실행했습니다.
- 해결책
-
응답 캐시에 적절한 권한이 있는지 확인하십시오. 응답 캐시(/usr/tmp/rc_service_name)는 Kerberos 암호화를 지원하는 서버 응용 프로그램이 실행 중인 호스트에 저장됩니다. 현재 응답 캐시에서 권한을 변경하는 대신, 응답 캐시를 삭제한 후 Kerberos 암호화를 지원하는 서버를 다른 사용자 ID로 실행할 수도 있습니다.
- 오류 메시지
-
프로토콜 버전이 일치하지 않습니다.
- 발생 원인
-
Kerberos V4 요청이 KDC로 전송되었습니다. SEAM은 Kerberos V5 프로토콜만 지원합니다.
- 해결책
-
응용 프로그램에서 Kerberos V5 프로토콜을 사용하는지 확인합니다.
- 오류 메시지
-
요청이 재생되었습니다.
- 발생 원인
-
해당 요청은 이 서버에 이미 전송되어 처리되었습니다. 티켓을 도난 당했거나 누군가 티켓을 재사용하려고 했습니다.
- 해결책
-
몇 분 후 요청을 다시 실행하십시오.
- 오류 메시지
-
요청한 주체 및 티켓이 일치하지 않습니다.
- 발생 원인
-
현재 연결 중인 서비스 주체와 서비스 티켓이 일치하지 않습니다.
- 해결책
-
DNS가 제대로 작동 중인지 확인하십시오. 다른 공급업자의 소프트웨어를 사용 중일 경우 주체 이름이 정확한지 확인하십시오.
- 오류 메시지
-
요청한 프로토콜 버전이 지원되지 않습니다.
- 발생 원인
-
Kerberos V4 요청이 KDC로 전송되었습니다. SEAM은 Kerberos V5 프로토콜만 지원합니다.
- 해결책
-
응용 프로그램에서 Kerberos V5 프로토콜을 사용하는지 확인합니다.
- 오류 메시지
-
krb5.conf에 필수 매개변수가 빠졌습니다. kadmin 인터페이스를 초기화하는 중
- 발생 원인
-
kr5.conf 파일에 빠진 매개변수(예:admin_server 매개변수)가 있습니다.
- 해결책
-
빠진 매개변수를 확인하여 이를 krb5.conf에 추가하십시오.
- 오류 메시지
-
서버에서 인증 협상을 거부했습니다. 종료합니다.
- 발생 원인
-
서버와 암호화를 협상할 수 없습니다.
- 해결책
-
telnet명령인 toggle encdebugtart를 호출하여 인증 디버깅을 시작하고 디버그 메시지에서 원인을 찾습니다.
- 오류 메시지
-
서버에서 (sendauth 교환 중) 인증을 거부했습니다.
- 발생 원인
-
연결하려는 서버에서 인증을 거부했습니다. 이러한 오류는 Kerberos 데이터베이스를 전파하는 과정에서 발생합니다. kpropd.acl 파일이나 DNS, 키 테이블에 일반적인 문제가 있을 수 있습니다.
- 해결책
-
kprop 이외의 다른 응용 프로그램을 실행할 때 이런 오류가 발생하면 서버의 키 테이블이 정확한지 확인하십시오.
- 오류 메시지
-
사용 대상 티켓이 아닙니다. 또는 티켓/인증자가 일치하지 않습니다.
- 발생 원인
-
티켓과 인증자가 일치하지 않습니다. 티켓은 주체의 FQDN으로 전송되었으나 해당 서비스에서 FQDN이 아닌 이름을 예상하거나 그 반대의 경우가 있을 수 있으므로, 요청에 포함된 주체 이름이 서비스 주체의 이름과 일치하지 않을 수도 있습니다.
- 해결책
-
사용 중인 서비스 주체가 정확한지 확인하십시오.
- 오류 메시지
-
티켓이 만기되었습니다.
- 발생 원인
-
티켓의 유효 기간이 만료되었습니다.
- 해결책
-
kdestroy 명령으로 기존 티켓을 삭제하고 kinit 명령으로 새로운 티켓을 만드십시오.
- 오류 메시지
-
유효 기간 후에는 티켓을 사용할 수 없습니다.
- 발생 원인
-
주체는 유효 기간이 지난 티켓을 허용하지 않습니다.
- 해결책
-
kadmin(1M)으로 주체를 수정하여 유효 기간이 지난 티켓도 허용하도록 합니다.
- 오류 메시지
-
티켓이 아직 유효하지 않습니다.
- 발생 원인
-
날짜를 늦춰 적은 티켓을 아직 사용할 수 없습니다.
- 해결책
-
필요한 날짜로 새로운 티켓을 만들거나 현재 티켓을 사용할 수 있을 때까지 기다립니다.
- 오류 메시지
-
입력 파일이 잘렸습니다.
- 발생 원인
-
작업에 사용되는 데이터베이스 덤프 파일이 완전한 덤프 파일이 아닙니다.
- 해결책
-
덤프 파일을 새로 만들거나 다른 데이터베이스 덤프 파일을 사용하십시오.
- 오류 메시지
-
Kerberos V5에 연결하여 암호화 서비스를 제공할 수 없습니다. 또는 일반 rlogin을 사용하여 Kerberos V5에 연결할 수 없습니다.
- 발생 원인
-
서버에서 해당 서비스(rsh와 rcp용 kshell, rlogin용eklogin이나 klogin)를 사용하여 Kerberos 암호화 지원 세션을 설정할 수 없습니다. 이것은 유효하지 않은 증명서 때문일 수도 있습니다.
- 해결책
-
-
증명서가 유효한지 확인합니다. kdestroy 명령으로 기존 티켓을 삭제하고 kinit 명령으로 새로운 티켓을 만드십시오.
-
대상 호스트의 키 테이블에 적합한 버전의 서비스 키가 있는지 확인합니다. kadmin(1M)을 사용하면 Kerberos 데이터베이스에서 서비스 주체의 키 버전 번호(예: host/FQDN_hostname)를 확인할 수 있습니다. 또한 klist -k를 사용하여 대상 호스트가 이와 동일한 키 버전 번호를 갖고 있는지 확인합니다.
-
대상 호스트의 /etc/inetd.conf에 서비스에 대한 항목(klogin, eklogin, kshell)이 있는지 확인하십시오.
-
- 오류 메시지
-
사용자를 안전하게 인증할 수 없어 종료합니다.
- 발생 원인
-
서버와 인증을 협상할 수 없습니다.
- 해결책
-
telnet 명령인 toggle authdebugtart를 호출하여 인증 디버깅을 시작하고 디버그 메시지에서 원인을 찾습니다. 또한, 유효한 증명서를 갖고 있는지 확인합니다.
- 오류 메시지
-
요청의 주체가 잘못되었습니다.
- 발생 원인
-
티켓에 유효하지 않은 주체 이름이 있습니다. DNS나 FQDN 문제일 수 있습니다.
- 해결책
-
서비스 주체가 티켓에 있는 주체와 일치하는지 확인하십시오.
- 오류 메시지
-
검사 합계를 지원하지 않는 이전 Kerberos5를 사용하고 있습니다. 새로운 클라이언트만 인증됩니다.
- 발생 원인
-
검사 합계를 포함하는 인증이 클라이언트와 협상되지 않았습니다. 클라이언트가 초기 연결을 지원하지 않는 이전 Kerberos V5 프로토콜을 사용하고 있습니다.
- 해결책
-
클라이언트가 초기 연결을 지원하는 Kerberos V5 프로토콜을 사용하는지 확인합니다.
- © 2010, Oracle Corporation and/or its affiliates