SEAM 故障排除

本节提供用于 SEAM 软件的故障排除信息。

krb5.conf 文件格式的问题

如果 krb5.conf 文件并未经正常格式化，则 telnet 命令将失败。然而， dtlogin 和 login 命令依旧可以成功，即使 krb5.conf 文件被指定为命令所必需的。如果发生此情形，则下列错误消息显示出来:

初始化 krb5 错误: 不当的 Kerberos 配置格式

如果 krb5.conf 文件的格式有一个问题，您就容易受到安全缺口的影响。您应当修正问题，然后再允许使用 SEAM 特性。

传播 Kerberos 数据库时出现问题

如果传播 Kerberos 数据库失败，请在从 KDC 和主 KDC 之间尝试 /usr/krb5/bin/rlogin -x，反之亦然。

如果 KDC 业已被设置为限定访问，则 rlogin 被禁用而无法用于为该问题排除故障。如要在一个 KDC 上启用 rlogin，您就必须为 /etc/inetd.conf 文件中的 eklogin 条目撤销说明并重新启动 inetd，方法如下:

# ps -eaf | grep inetd       显示 inetd# kill -1 的进程 ID
pid_of_inetd

在您完成对问题的故障排除之后，您必须将 inetd.conf 文件改回到其原来的状态并再次重新启动 inetd。

如果rlogin 失效，问则题可能就是 KDC 上的密钥表。如果 rlogin 确实有效，则问题不在密钥表或名称服务，因为 rlogin 和传播软件使用同一 host/host_name 授权对象。这样的话，请确保 kpropd.acl 文件是正确的。

装配一个 Kerberized NFS 文件系统时出现问题

• 如果装配一个 Kerberized NFS 文件系统失败，就请确保 /var/tmp/rc_nfs 文件存在于 NFS 服务器上。如果其并非为 root 所拥有，就请将其去除并再次尝试装配。

• 如果您访问一个 Kerberized NFS 文件系统时有问题，则请确保您的系统和 NFS 服务器上的 inetd.conf 文件中有一个 gssd 条目。

• 如果您在尝试访问一个 Kerberized NFS 文件系统时看到 无效参数 或 不良目录 错误消息，则问题可能是您在尝试装配 NFS 文件系统时，没有使用一个完全合格的 DNS 名称。正在装配的主机与服务器的密钥表中服务授权对象的主机名部分不一样。

  如果您的服务器拥有多重以太网接口而您将 DNS 设置为使用 "一个接口一个名称" 的方案，而不是 "一个主机多重地址记录" 的方案，则有可能发生此类情形。对于 SEAM, 您应当依照下列方法，为每个主机设置多重地址记录 [Ken Hornstein, "Kerberos FAQ," [http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html], 访问于 1998 年 12 月 11 日。] :

  my.host.name.   A       1.2.3.4
                   A       1.2.4.4
                   A       1.2.5.4
   
  my-en0.host.name.       A       1.2.3.4
  my-en1.host.name.       A       1.2.4.4
  my-en2.host.name.       A       1.2.5.4
  
   4.3.2.1         PTR     my.host.name.
   4.4.2.1         PTR     my.host.name.
   4.5.2.1         PTR     my.host.name.

在本示例中，设置允许对不同的接口引用一次，并允许服务器的密钥表中有单独一个服务授权对象，而不是三个服务授权对象。

作为 root 进行新鉴别时出现问题

如果在您试图在您的系统上变为超级用户时鉴别失败，而您业已将 root 授权对象添加到您的主机的密钥表，则有两个可能的问题需要检查。首先，请确保密钥表中的 root 授权对象与其实例一样，拥有一个完全合格的名称。如果确实如此，则请检查 /etc/resolv.conf 文件，以确保系统已正确地设置为一个 DNS 客户机。