SEAM-Problembehebung

Dieser Abschnitt bietet Informationen zur Problembehebung bei der SEAM-Software.

Probleme mit dem Format der Datei krb5.conf

Wenn die Datei krb5.conf nicht ordnungsgemäß formatiert ist, schlägt der Befehl telnet fehl. Allerdings sind die Befehle dtlogin und login selbst dann erfolgreich, wenn die Datei krb5.conf für die Befehle als erforderlich angegeben ist. Wenn das passiert, wird die folgende Fehlermeldung angezeigt:

Fehler beim Initialisieren von krb5: Falsches Format der Kerberos-Konfiguration

Wenn es ein Problem mit dem Format der Datei krb5.conf gibt, sind Sie empfänglich für Sicherheitsverletzungen. Sie sollten das Problem beheben, bevor Sie die Verwendung der SEAM-Funktionen erlauben.

Probleme beim Vervielfältigen der Kerberos-Datenbank

Wenn Sie die Kerberos-Datenbank vervielfältigen, probieren Sie den Befehl /usr/krb5/bin/rlogin -x zwischen Slave-KDC und Master-KDC und umgekehrt.

Wenn die KDCs mit eingeschränktem Zugriff initialisiert worden sind, dann ist rlogin deaktiviert und kann zur Behebung dieses Problems nicht verwendet werden. Um rlogin auf einem KDC zu aktivieren, müssen Sie den eklogin-Eintrag in der Datei /etc/inetd.conf auskommentieren und inetd wie folgt neu starten:

# ps -eaf | grep inetd       zeigt die Prozess-ID von inetd an
# kill -1 pid_of_inetd

Nach erfolgter Behebung des Problems müssen Sie die Datei inetd.conf wieder in ihren ursprünglichen Zustand zurückführen und inetd noch einmal starten.

Wenn rlogin nicht funktioniert, liegt das Problem wahrscheinlich an den Schlüsseltabellen auf den KDCs. Falls rlogin korrekt ausgeführt wird, liegt das Problem nicht an den Schlüsseltabellen oder am Namen-Service, da rlogin und die Vervielfältigungssoftware denselben Hauptbenutzer host/host_name verwenden. Vergewissern Sie sich in diesem Fall, dass die Datei kpropd.acl fehlerfrei ist.

Probleme beim Einhängen eines mit Kerberos ausgestatteten NFS-Dateisystems

• Wenn das Einhängen eines mit Kerberos ausgestatteten NFS-Dateisystems fehlschlägt, vergewissern Sie sich, dass die Datei /var/tmp/rc_nfs auf dem NFS-Server existiert. Wenn der Besitzer nicht root ist, entfernden Sie die Datei, und versuchen Sie das Einhängen noch einmal.

• Wenn Sie ein Problem beim Zugriff auf ein mit Kerberos ausgestattetes NFS-Dateisystem haben, überprüfen Sie, ob es einen Eintrag gssd in der Datei inetd.conf auf Ihrem System und auf dem NFS-Server gibt.

• Wenn Sie beim Versuch, auf ein mit Kerberos ausgestattetes Dateisystem zuzugreifen, die Fehlermeldung ungültiges Argument oder falsches Verzeichnis sehen, kann das Problem daran liegen, dass Sie beim Versuch, das NFS-Dateisystem einzuhängen, keinen voll qualifizierten DNS-Namen verwenden. Der einzuhängende Host entspricht nicht dem Hostnamenteil des Service-Hauptbenutzers in der Schlüsseltabelle des Servers.

  Das kann auch vorkommen, wenn der Server mehrere Ethernet-Schnittstellen hat, und Sie DNS so eingerichtet haben, dass ein Schema "Name pro Schnittstelle" anstelle von "mehrere Adressdatensätze pro Host" verwendet wird. Für SEAM sollten Sie mehrere Adressdatensätze pro Host auf folgende Weise einrichten [Ken Hornstein, "Kerberos FAQ," [http://www.nrl.navy.mil/CCS/people/kenh/kerberos-faq.html], Zugriff 11. Dezember 1998.] :

  my.host.name.   A       1.20,3.4
                  A       1.20,4.4
                  A       1.2.5.4
  
  my-en0.host.name.       A       1.20,3.4
  my-en1.host.name.       A       1.20,4.4
  my-en2.host.name.       A       1.2.5.4
  
  4,3.2.1         PTR     my.host.name.
  4,4.2.1         PTR     my.host.name.
  4.5.2.1         PTR     my.host.name.

Bei diesem Beispiel ermöglicht die Einstellung einen Verweis auf die jeweiligen Schnittstellen und einen einzigen Service-Hauptbenutzer anstelle von drei Service-Hauptbenutzern in der Schlüsseltabelle des Servers.

Probleme beim Authentisieren als root

Wenn die Authentisierung beim Versuch, auf Ihrem System Superuser zu werden, fehlschlägt und Sie schon den root-Hauptbenutzer zur Host-Schlüsseltabelle hinzugefügt haben, dann sind zwei potentielle Probleme zu überprüfen. Zunächst vergewissern Sie sich, dass der root-Hauptbenutzer in der Schlüsseltabelle einen voll qualifizierten Namen als Instanz hat. Wenn das der Fall ist, prüfen Sie die Datei /etc/resolv.conf, um sicherzugehen, dass das System als DNS-Client korrekt eingerichtet ist.