常见的 SEAM 错误消息 (A-M)
本节为 SEAM 命令、 SEAM 守候程序、 PAM 框架结构, GSS 接口和 Kerberos 库提供一个字母顺序的更多的常见的错误消息的列表 (A-M)。
- 错误消息
-
major_error major_error gssapi 导入名称错误
- 发生原因
-
导入一个服务名称过程中发生了一个错误。
- 解决办法
-
请确保 主机 或 ftp 服务授权对象位于主机的密钥表文件中。
- 错误消息
-
所有的鉴别系统已被禁用; 连接遭到拒绝
- 发生原因
-
该版本的 rlogind 不支持任何鉴别机制。
- 解决办法
-
请确保 rlogind 调用时带有 -k 选项。实际上,这应当是 inetd.conf 文件中所指定的默认情形。
- 错误消息
-
必须使用另一鉴别机制才能访问该主机
- 发生原因
-
鉴别无法被完成。
- 解决办法
-
请确保客户机将 Kerberos V5 用于鉴别。
- 错误消息
-
鉴别协商业已失败,而这是加密所必需的。再见。
- 发生原因
-
无法与服务器协商完成鉴别。
- 解决办法
-
通过调用 telnet 命令 toggle authdebug 启动鉴别调试,并查看调试消息,以获取进一步的线索。另外,请确保您拥有有效的资格。
- 错误消息
-
初始化 kadmin 接口过程中不良 krb5 admin 服务器主机名
- 发生原因
-
在 krb5.conf文件中为 admin 服务器 (主 KDC) 配置了一个无效主机名。
- 解决办法
-
请确保在 krb5.conf 文件中,为 admin 服务器 (主 KDC) 指定了正确的主机名。
- 错误消息
-
无法为所请求的区域联系任何 KDC
- 发生原因
-
在所请求的区域中无 KDC 响应。
- 解决办法
-
请确保至少有一个 KDC (或主或从) 是可达到的,或者 krb5kdc 守候程序正在 KDC 上运行。请查看 /etc/krb5/krb5.conf,获取已配置 KDC 的列表 (kdc = kdc_name)。
- 错误消息
-
无法为主机确定区域
- 发生原因
-
Kerberos 无法为主机确定区域名称。
- 解决办法
-
请确保 Kerberos 配置文件 (krb5.conf) 中设置有一个默认的区域名称或域名称映射。
- 错误消息
-
无法密写网络
- 发生原因
-
为数据加密时发生了问题。
- 解决办法
-
检查系统中是否有其它的可能问题。查验其它的 syslog 消息,获取进一步的线索。
- 错误消息
-
无法为所请求的区域找到 KDC
- 发生原因
-
在所请求的区域中没有找到 KDC。
- 解决办法
-
请确保 Kerberos 配置文件 (krb5.conf) 在 realm 一节中指定有一个 KDC。
- 错误消息
-
无法初始化区域 realm_name
- 发生原因
-
KDC 可能没有一个贮藏文件。
- 解决办法
-
请确保 KDC 拥有一个贮藏文件。不然,就请使用 kdb5_util(1M) 命令创建一个并再次尝试运行 krb5kdc (/etc/init.d/kdc)。
- 错误消息
-
无法为所请求的区域解析 KDC
- 发生原因
-
Kerberos 无法为区域确定任何 KDC。
- 解决办法
-
请确保 Kerberos 配置文件在realm 一节中 (krb5.conf) 指定有一个 KDC。
- 错误消息
-
无法重新使用口令
- 发生原因
-
您录入的口令业已在以前为该授权对象使用过。
- 解决办法
-
选择一个以前尚未选用的口令,至少不要在 KDC 数据库中为每个授权对象所保持的若干口令内 (这由授权对象的策略强制执行)。
- 错误消息
-
无法获得已转发资格
- 发生原因
-
资格转发无法得到建立。
- 解决办法
-
请确保授权对象拥有可转发资格。
- 错误消息
-
无法打开/找到 Kerberos 配置文件
- 发生原因
-
Kerberos 配置文件 (krb5.conf) 不可用。
- 解决办法
-
请确保 krb5.conf 文件在正确的位置是可用的且拥有正确的许可 (其应当可为 root 写入且可为其他每个人读出)。
- 错误消息
-
客户机没有给出所要求的校验和--连接遭到拒绝
- 发生原因
-
未能借助校验和与客户机协商完成鉴别。客户机可能正在使用一个不支持初始连接支持的旧的 Kerberos V5 协议。
- 解决办法
-
请确保客户机正在使用一个支持初始连接支持的 Kerberos V5 协议。
- 错误消息
-
在初始票券请求中,客户机/服务器区域不匹配
- 发生原因
-
在初始票券请求中,客户机和服务器之间发生了区域不匹配。
- 解决办法
-
请确保您正在与之通信的服务器与客户机位于同一区域或区域配置是正确的。
- 错误消息
-
客户机或服务器拥有一个空密钥
- 发生原因
-
授权对象拥有一个空密钥。
- 解决办法
-
通过使用 kadmin(1M) 的 cpw 命令,修改授权对象,使之拥有一个非空密钥。
- 错误消息
-
在初始化 kadmin 接口过程中与服务器通信失败
- 发生原因
-
为 admin 服务器录入的主机 (主 KDC) 没有运行 kadmind。
- 解决办法
-
请确保您为主 KDC 指定了正确的主机名。如果您指定了正确的主机名,请确保 kadmind 正在您所指定的主 KDC 上运行。
- 错误消息
-
配置错误: 借助 -c 来要求校验和,与允许 Kerberos V4 连接不一致
- 发生原因
-
未能借助校验和与客户机协商完成鉴别。客户机可能正在使用一个不支持初始连接支持的旧的 Kerberos V5 协议。
- 解决办法
-
请确保客户机正在使用一个支持初始连接支持的 Kerberos V5 协议。
- 错误消息
-
资格高速缓存文件许可不正确
- 发生原因
-
您对资格高速缓存没有适当的读或写许可 (/tmp/krb5cc_uid)。
- 解决办法
-
请确保您对资格高速缓存没有适当的读和写许可。
- 错误消息
-
资格高速缓存 I/O 操作失败XXX
- 发生原因
-
Kerberos 写入系统的资格高速缓存时遇到一个问题 (/tmp/krb5cc_uid)。
- 解决办法
-
请通过使用 df 命令,确保资格高速缓存尚未被去除且设备上留有空间。
- 错误消息
-
解密完整性检查失败
- 发生原因
-
您可能拥有一个无效票券。
- 解决办法
-
-
请确保您的资格是有效的。借助 kdestroy 销毁您的票券,并借助 kinit 创建新的票券。
-
请确保目标主机拥有一个带有正确版本的服务密钥的密钥表。。使用 kadmin(1M) 来查看 Kerberos 数据库中的服务授权对象的密钥版本号 (例如, host/FQDN_hostname),并在目标主机上使用 klist -k,以确保其拥有同一密钥版本号。
-
- 错误消息
-
des_read 重试计数超过
- 发生原因
-
读取数据过程中反复发生了一个错误。
- 解决办法
-
检查系统中是否有其它的可能问题。查验其它的 syslog 消息,获取进一步的线索。
- 错误消息
-
df: 无法 statvfs filesystem: 无效变元
- 发生原因
-
df 命令无法访问当前所装配的 Kerberized NFS 文件系统来生成其报告,因为您不再拥有适当的 root 资格。将您的针对一个已装配 Kerberized 文件系统的资格销毁,并不自动撤销装配文件系统。
- 解决办法
-
您必须创建新的 root 资格才能访问 Kerberized 文件系统。如果您不再需要访问 Kerberized 文件系统,就请撤销装配文件系统。
- 错误消息
-
加密无法被启用。再见。
- 发生原因
-
无法与服务器协商完成加密。
- 解决办法
-
通过调用 telnet 命令 toggle encdebug 启动鉴别调试,并查看调试消息,以获取进一步的线索。
- 错误消息
-
没有成功地协商完成加密。再见。
- 发生原因
-
无法协商完成加密。
- 解决办法
-
检查 KDC 日志文件中是否有错误消息。
- 错误消息
-
已到达资格高速缓存的末尾
- 发生原因
-
读取资格高速缓存过程中发生了一个错误 (/tmp/krb5cc_uid)。
- 解决办法
-
请确保资格高速缓存为可读且包含数据。
- 错误消息
-
未能获得资格高速缓存
- 发生原因
-
在 kadmin 初始化过程中,当 kadmin 试图为 admin 授权对象获得资格时,发生了一个故障。
- 解决办法
-
请确保您在执行 kadmin 时使用了正确的授权对象和/或口令。
- 错误消息
-
字段对该实现方案来讲太长
- 发生原因
-
一个 Kerberized 应用程序所正在发送的消息尺寸太长。 Kerberos 可以处理的最大消息尺寸为 65535 个字节。另外,对 Kerberos 所发送的一个协议消息中的单个字段有所限制。
- 解决办法
-
请确保您的 Kerberized 应用程序正在发送有效的消息尺寸。
- 错误消息
-
GSS-API (或 Kerberos) 错误
- 发生原因
-
这是一个类属 GSS-API 或 Kerberos 错误消息,可能是由多个不同的问题导致的。
- 解决办法
-
查看 /etc/krb5/kdc.log 文件,找到在该错误发生时所记录的更加具体的 GSS-API 错误消息。
- 错误消息
-
主机名无法被正规化
- 发生原因
-
Kerberos 无法使主机名完全合格。
- 解决办法
-
请确保主机名位于 DNS 中,且主机名到地址和地址到主机名的映射保持一致。
- 错误消息
-
非法跨区票券
- 发生原因
-
所发送的票券没有正确的跨区。区域可能尚未设置有正确的托管关系。
- 解决办法
-
请确保您正在使用的区域拥有正确的托管关系。
- 错误消息
-
不当格式的 Kerberos 配置文件
- 发生原因
-
Kerberos 配置文件 (krb5.conf) 拥有无效条目。
- 解决办法
-
请确保 krb5.conf 文件中的所有的关系后面跟有 "=" 符号和一个值,并验证每个子节均有一对括号。
- 错误消息
-
消息中有不当类型的校验和
- 发生原因
-
消息包含一个无效校验和类型。
- 解决办法
-
检查 krb5.conf 和 kdc.conf 文件中指定有哪写有效的校验和类型。
- 错误消息
-
不正确网络地址
- 发生原因
-
网络地址中有一处不匹配。正要转发的票券中的网络地址与票券得到处理时所在的网络地址不同。转发票券时可能会发生这种情况。
- 解决办法
-
请确保网络地址正确; 借助 kdestroy 销毁您的票券,并借助 kinit 创建新的票券。
- 错误消息
-
文件锁定模式的标识无效
- 发生原因
-
发生了一个内部 Kerberos 错误。
- 解决办法
-
请报告一个缺陷。
- 错误消息
-
为编码指定了无效消息类型
- 发生原因
-
Kerberos 无法识别 Kerberized 应用程序所发送的消息类型。
- 解决办法
-
如果您正在使用您的站点或一个供应商所开发的一个 Kerberized 应用程序,则请确保其正在正确地使用 Kerberos。
- 错误消息
-
无效的字符类数目
- 发生原因
-
您为授权对象录入的口令没有包含足够的口令类,而这正是授权对象的策略所强制要求的。
- 解决办法
-
请确保您录入一个带有策略所要求的最低口令类数目的口令。
- 错误消息
-
KADM 错误: 内存分配失败
- 发生原因
-
没有足够的内存来运行 kadmin。
- 解决办法
-
释放内存并再次尝试运行 kadmin。
- 错误消息
-
KDC 无法完成所请求的选项
- 发生原因
-
KDC 不允许所请求的选项。一个可能的问题可能是超期或可转发选项正得到请求,而 KDC 不允许此类选项。另一问题可能是您请求续延一个 TGT,但是您并不拥有一个可续延 TGT。
- 解决办法
-
确定是否 KDC 不允许您正在请求的选项,或者是否您正在请求一个您并没有的东西。
- 错误消息
-
KDC 策略拒绝请求
- 发生原因
-
KDC 策略不允许请求。例如,向 KDC 发出的请求在其请求中没有一个 IP 地址,或者转发得到请求,但 KDC 不允许该请求。
- 解决办法
-
请确保您使用 kinit 时带有正确的选项。如有必要,请修改与授权对象相关联的策略或更改授权对象的属性,以便允许该请求。您可以通过使用 kadmin(1M) 来修改策略或授权对象。
- 错误消息
-
KDC 回复与所期待的不匹配
- 发生原因
-
KDC 回复不包含所期待的授权对象名称,或者响应中其它的值不正确。
- 解决办法
-
请确保您正在与之通信的 KDC 符合 RFC1510,您正在发送的请求是一个 Kerberos V5 请求,或该 KDC 可用。
- 错误消息
-
Kerberos V5 拒绝鉴别
- 发生原因
-
无法与服务器协商完成鉴别。
- 解决办法
-
通过调用 telnet 命令 toggle authdebug 启动鉴别调试,并查看调试消息,以获取进一步的线索。另外,请确保您拥有有效的资格。
- 错误消息
-
密钥表条目未找到
- 发生原因
-
网络应用程序服务器的密钥表中没有针对服务授权对象的条目。
- 解决办法
-
向服务器的密钥表添加适当的服务授权对象,以便其可以提供 Kerberized 服务。
- 错误消息
-
密钥表中授权对象的密钥版本号不正确
- 发生原因
-
密钥表和 Kerberos 数据库中的授权对象的密钥版本不同。不是一个服务的密钥业已被更改,就是您可能正在使用一个旧的服务票券。
- 解决办法
-
如果一个服务的密钥业已被更改 (例如,通过使用 kadmin),则您必须提取新的密钥并将其存储在主机的密钥表,即服务正在运行的位置。
另外,您也可能正在使用一个拥有一个较旧的密钥的旧的服务票券。您可能需要进行一次 kdestroy,然后再次运行一次 kinit。
- 错误消息
-
login: load_modules: 无法打开模块 /usr/lib/security/pam_krb5.so.1
- 发生原因
-
不是 Kerberos PAM 模块缺失,就是并非一个有效的可执行二进制文件。
- 解决办法
-
请确保 Kerberos PAM 模块位于 /usr/lib/security 中,且是一个有效的可执行二进制文件。另外,请确保 /etc/pam.conf 包含到 pam_krb5.so.1 的正确的路径。
- 错误消息
-
在 krb5_get_in_tkt 内监测到循环
- 发生原因
-
Kerberos 进行了多次尝试来获得初始票券,但均失败。
- 解决办法
-
请确保至少一个 KDC 在对鉴别请求作出响应。
- 错误消息
-
主密钥与数据库不匹配
- 发生原因
-
所加载的数据库转储并非是从一个包含主密钥的数据库创建的,它位于 /var/krb5/.k5.REALM 中。
- 解决办法
-
请确所加载的数据库转储中的主密钥与位于 /var/krb5/.k5.REALM 的主密钥匹配。
- 错误消息
-
相匹配的资格未找到
- 发生原因
-
针对请求的相匹配的资格未找到。资格高速缓存中没有您的请求所要求的资格。
- 解决办法
-
借助 kdestroy 销毁您的票券,并借助 kinit 创建新的票券。
- 错误消息
-
消息顺序错误
- 发生原因
-
使用顺序隐私所发送的消息到达时顺序错误。一些消息可能在传递时丢失了。
- 解决办法
-
您应当重新初始化 Kerberos 对话。
- 错误消息
-
消息流遭到修改
- 发生原因
-
计算得出的校验和与消息校验和之间有一处不匹配。消息可能业已在传递过程中遭到修改,而这可能指示有一个安全漏洞。
- 解决办法
-
请确保消息正确地跨越网络得到发送。因为该消息还可能指示消息在发送过程中可能遭到了篡改,所以请使用 kdestroy 销毁您的票券,并重新初始化您正在使用的 Kerberos 服务。
- © 2010, Oracle Corporation and/or its affiliates