常见的 SEAM 错误消息 (N-Z)
本节为 SEAM 命令、 SEAM 守候程序、 PAM 框架结构和 Kerberos 库提供一个字母顺序的更多的常见的错误消息的列表 (N-Z)。
- 错误消息
-
没有鉴别系统得到启用; 所有连接均将遭到拒绝
- 发生原因
-
该版本的 rlogind 不支持任何鉴别机制。
- 解决办法
-
请确保 rlogind 调用时带有 -k 选项。实际上,这应当是 inetd.conf 文件中所指定的默认情形。
- 错误消息
-
没有找到资格高速缓存文件
- 发生原因
-
Kerberos 无法找到资格高速缓存 (/tmp/krb5cc_uid)。
- 解决办法
-
请确保资格文件存在且可读。如果不存在,就请再次尝试进行一次 kinit。
- 错误消息
-
操作要求有 "privilege" 特权
- 发生原因
-
正在使用的 admin授权对象在 kadm5.acl 文件中,未配置有适当的特权。
- 解决办法
-
使用一个拥有适当特权的授权对象,或者通过修改 kadm5.acl 文件,将正在使用的授权对象配置为拥有适当的特权。通常,一个名称中带有 "/admin" 部分的授权对象就拥有适当的特权。
- 错误消息
-
PAM-KRB5: Kerberos V5 鉴别失败: 口令不正确
- 发生原因
-
您的 UNIX 口令和 Kerberos 口令不同。大多数的非 Kerberized 命令,诸如 login,通过 PAM 设置为,通过使用与您为您的 UNIX 口令所指定的口令相同的口令,自动与 Kerberos 进行鉴别。如果您的口令不同,则 Kerberos 鉴别失败。
- 解决办法
-
在得到提示时,您必须录入您的 Kerberos 口令。
- 错误消息
-
口令位于口令字典
- 发生原因
-
您所录入的口令位于一个正在使用的口令字典中。该选择不适于用作一个口令。
- 解决办法
-
选择一个拥有混合口令类的口令。
- 错误消息
-
重放高速缓存代码的许可遭到拒绝
- 发生原因
-
系统的重放高速缓存无法被打开。第一次运行服务器时所使用的用户 ID,可能与您当前的用户 ID 不同。
- 解决办法
-
请确保重放高速缓存拥有适当的许可。重放高速缓存存储于 Kerberized 服务器应用程序正在运行的主机上 (/usr/tmp/rc_service_name)。除了更改对当前的重放高速缓存的许可,您还可以去除重放高速缓存,然后再以一个不同的用户 ID 运行 Kerberized 服务器。
- 错误消息
-
协议版本不匹配
- 发生原因
-
很有可能是向 KDC 发送了一个 Kerberos V4 请求。 SEAM 只支持 Kerberos V5 协议。
- 解决办法
-
请确保您的应用程序正在使用 Kerberos V5 协议。
- 错误消息
-
请求是一个重放
- 发生原因
-
请求业已被发送到该服务器并得到处理。票券可能业已被偷,而他人正试图重新使用票券。
- 解决办法
-
等候几分钟,然后重新发出请求。
- 错误消息
-
所请求的授权对象和票券不匹配
- 发生原因
-
您正在连接的服务授权对象与您所拥有的服务票券不匹配。
- 解决办法
-
请确保 DNS 工作正常。如果您正在使用另一供应商的软件,则请确保它正在正确地使用授权对象名称。
- 错误消息
-
所请求的协议版本不被支持
- 发生原因
-
很有可能是向 KDC 发送了一个 Kerberos V4 请求。 SEAM 只支持 Kerberos V5 协议。
- 解决办法
-
请确保您的应用程序正在使用 Kerberos V5 协议。
- 错误消息
-
在初始化 kadmin 接口过程中,krb5.conf 中所要求的参数缺失
- 发生原因
-
kr5.conf 文件有一个参数缺失 (诸如 admin_server 参数)。
- 解决办法
-
请确定所缺失参数是什么并将其添加到 krb5.conf。
- 错误消息
-
服务器拒绝协商加密。再见。
- 发生原因
-
无法与服务器协商完成加密。
- 解决办法
-
通过调用 telnet 命令 toggle encdebug 启动鉴别调试,并查看调试消息,以获得进一步的线索。
- 错误消息
-
服务器拒绝鉴别 (在 sendauth 交换过程中)
- 发生原因
-
您正试图与之通信的服务器拒绝鉴别。该错误最为经常发生在进行 Kerberos 数据库传播时。一些常见的起因可能是 kpropd.acl 文件、 DNS 或密钥表的问题。
- 解决办法
-
如果您是在运行 kprop 以外的应用程序时获得该错误的,则请调查服务器的密钥表是否正确。
- 错误消息
-
票券并非针对我们的 或票券/鉴别符不匹配
- 发生原因
-
票券和鉴别符之间有一处不匹配。请求中的授权对象名称可能与服务授权对象的名称不匹配,因为票券是借助授权对象的一个 FQDN 名称加以发送的,而服务所期待非 FQDN,反之亦然
- 解决办法
-
请确保您正在使用的服务授权对象是正确的。
- 错误消息
-
票券已到期
- 发生原因
-
您的票券时间业已到期。
- 解决办法
-
借助 kdestroy 销毁您的票券,并借助 kinit 创建新的票券。
- 错误消息
-
票券不合格,不可用作超期
- 发生原因
-
授权对象不允许对其票券进行超期。
- 解决办法
-
借助 kadmin(1M) 来修改授权对象,允许超期。
- 错误消息
-
票券尚未有效
- 发生原因
-
超期票券尚不有效。
- 解决办法
-
创建带有正确的日期的新的票券,或者等到当前的票券有效。
- 错误消息
-
监测到被截短的输入文件
- 发生原因
-
操作中正在使用的数据库转储文件并非一个完整的转储文件。
- 解决办法
-
再次创建转储文件,或者使用一个不同的数据库转储文件。
- 错误消息
-
无法与 Kerberos V5 连接和提供加密服务,或者,使用常规的 rlogin,无法与 Kerberos V5 连接
- 发生原因
-
无法与服务器上的适当的服务建立一个 Kerberized 对话 (kshell 用于 rsh 以及 rcp, eklogin 或 klogin 用于 rlogin)。该可能是由于资格无效。
- 解决办法
-
-
请确保您的资格有效。借助 kdestroy 销毁您的票券,并借助 kinit 创建新的票券。
-
请确保目标主机拥有一个带有正确版本的服务密钥的密钥表。使用 kadmin(1M) 来查看 Kerberos 数据库中的服务授权对象的密钥版本号 (例如, host/FQDN_hostname),并在目标主机来上使用 klist -k,以确保其拥有同一密钥版本号。
-
请确保在目标主机上的 /etc/inetd.conf 中有针对服务 (klogin, eklogin,和 kshell) 的条目。
-
- 错误消息
-
无法安全地鉴别用户 ... 退出
- 发生原因
-
无法与服务器协商完成鉴别。
- 解决办法
-
通过调用 telnet 命令 toggle authdebug 启动鉴别调试,并查看调试消息,以获取进一步的线索。另外,请确保您拥有有效的资格。
- 错误消息
-
请求中错误的授权对象
- 发生原因
-
票券中有一个无效授权对象名称。这可能是一个 DNS 或 FQDN 问题。
- 解决办法
-
请确保服务的授权对象与票券中的授权对象匹配。
- 错误消息
-
您正在使用一个不带校验和支持的旧的 Kerberos5 客户机; 只有较新的客户机得到鉴别。
- 发生原因
-
未能借助校验和与客户机协商完成鉴别。客户机可能正在使用一个不支持初始连接支持的旧的 Kerberos V5 协议。
- 解决办法
-
请确保客户机正在使用一个支持初始连接支持的 Kerberos V5 协议。
- © 2010, Oracle Corporation and/or its affiliates