test

Sun Enterprise Authentication Mechanism 1.0.1 Handbuch

Allgemeine SEAM-Fehlermeldungen

Dieser Abschnitt bietet eine Liste der allgemeineren Fehlermeldungen von SEAM-Befehlen, SEAM-Dämonen, vom PAM-Framework, der GSS-Schnittstelle und der Kerberos-Bibliothek.

Fehlermeldung

major_error  minor_error gssapi-Fehler beim Import eines Namens
Ursache

Ein Fehler ist beim Importieren eines Service-Namens aufgetreten.

Lösung

Stellen Sie sicher, dass der Service-Hauptbenutzer host oder ftp in der Schlüsseltabellendatei eingetragen ist.

Fehlermeldung

Alle Authentisierungssysteme deaktiviert; Verbindung abgelehnt
Ursache

Diese Version von rlogind unterstützt keinen Authentisierungsmechanismus.

Lösung

Stellen Sie sicher, dass rlogind mit der Option -k aufgerufen wird. Das sollte auch die Standardeinstellung in der Datei inetd.conf sein.

Fehlermeldung

Ein anderer Authentisierungsmechanismus muss für den Zugriff
 auf diesen Host verwendet werden.
Ursache

Authentisierung konnte nicht durchgeführt werden.

Lösung

Stellen Sie sicher, dass der Client zur Authentisierung Kerberos V5 verwendet.

Fehlermeldung

Authentisierungsverhandlung fehlgeschlagen; für Verschlüsselung erforderlich.
 Auf Wiedersehen.
Ursache

Authentisierung konnte nicht mit dem Server verhandelt werden.

Lösung

Starten Sie die Authentisierungsfehlersuche durch Aufruf des Befehls telnet mit toggle authdebug, und schauen Sie die Meldungen der Fehlersuche nach weiteren Hinweisen durch. Stellen Sie auch sicher, dass Sie gültige Berechtigungsnachweise haben.

Fehlermeldung

Fehlerhafter Hostname für admin-Server (krb5) beim Initialisieren der kadmin-Schnittstelle
Ursache

Ein ungültiger Hostname ist für den admin-Server (Master-KDC) in der Datei krb5.conf konfiguriert.

Lösung

Vergewissern Sie sich, dass der richtige Hostname für den admin-Server (Master-KDC) in der Datei krb5.conf angegeben ist.

Fehlermeldung

Konnte mit keinem KDC im gewünschten Bereich in Verbindung treten
Ursache

Kein KDC hat im gewünschten Bereich geantwortet.

Lösung

Stellen Sie sicher, dass wenigstens ein KDC (entweder Master oder Slave) erreichbar ist, oder dass der Dämon krb5kdc auf den KDCs ausgeführt wird. Suchen Sie in der Datei /etc/krb5/krb5.conf nach der Liste der konfigurierten KDCs (kdc = kdc_name).

Fehlermeldung

Konnte Bereich für Host nicht ermitteln
Ursache

Kerberos kann den Bereichsnamen für den Host nicht ermitteln.

Lösung

Stellen Sie sicher, dass in der Kerberos-Konfigurationsdatei ( krb5.conf) ein Standard-Bereichsname existiert oder die Domain-Namenzuordnungen eingerichtet sind.

Fehlermeldung

Kann im Netzwerk nicht verschlüsselt schreiben
Ursache

Ein Problem ist bei der Verschlüsselung von Daten aufgetreten.

Lösung

Suchen Sie nach anderen möglichen Problemen im System. Untersuchen Sie andere syslog-Meldungen nach weiteren Hinweisen.

Fehlermeldung

Kann KDC nicht für gewünschten Bereich finden
Ursache

Im gewünschten Bereich wurde kein KDC gefunden.

Lösung

Stellen Sie sicher, dass die Kerberos-Konfigurationsdatei (krb5.conf) im Abschnitt Bereich ein KDC angibt.

Fehlermeldung

Kann Bereich realm_name nicht initialisieren
Ursache

Das KDC verfügt möglicherweise über keine Vorsorgedatei.

Lösung

Stellen Sie sicher, dass das KDC eine Vorsorgedatei hat. Wenn nicht, erstellen Sie eine solche mit dem Befehl kdb5_util(1M) und versuchen Sie, krb5kdc noch einmal auszuführen (/etc/init.d/kdc).

Fehlermeldung

Kann für gewünschten Bereich kein KDC ermitteln
Ursache

Kerberos kann kein KDC für den Bereich ermitteln.

Lösung

Stellen Sie sicher, dass die Kerberos-Konfigurationsdatei (krb5.conf) im Abschnitt Bereich ein KDC angibt.

Fehlermeldung

Kann Passwort nicht wiederverwenden
Ursache

Das eingegebene Passwort ist von diesem Hauptbenutzer schon vorher benutzt worden.

Lösung

Wählen Sie ein Passwort, das noch nicht vorher verwendet worden ist, jedenfalls keines der Passwörter, die in der KDC-Datenbank für jeden Hauptbenutzer gespeichert werden (das wird von der Hauptbenutzer-Richtlinie erzwungen).

Fehlermeldung

Kann weitergeleitete Berechtigungsnachweise nicht abrufen
Ursache

Das Weiterleiten von Berechtigungsnachweisen konnte noch nicht eingerichtet werden.

Lösung

Stellen Sie sicher, dass der Hauptbenutzer weiterleitbare Berechtigungsnachweise hat.

Fehlermeldung

Kann Kerberos-Konfigurationsdatei nicht öffnen/finden
Ursache

Die Kerberos-Konfigurationsdatei (krb5.conf) stand nicht zur Verfügung.

Lösung

Vergewissern Sie sich, dass die Datei krb5.conf an der richtigen Stelle zur Verfügung steht und die entsprechenden Berechtigungen hat (sollte von root beschreibbar und für jeden anderen lesbar sein).

Fehlermeldung

Client hat nicht die erforderliche Prüfsumme angegeben; Verbindung abgelehnt.
Ursache

Authentisierung mit Prüfsumme wurde nicht mit dem Client verhandelt. Der Client könnte ein altes Kerberos V5-Protokoll verwenden, das keine Unterstützung beim Verbindungsaufbau bietet.

Lösung

Stellen Sie sicher, dass der Client ein Kerberos V5-Protokoll verwendet, welches Unterstützung beim Verbindungsaufbau bietet.

Fehlermeldung

Bereiche für Client und Server stimmen bei Einleitung der Ticket-Anforderung nicht überein
Ursache

Eine fehlende Bereichsübereinstimmung zwischen Client und Server ist bei Einleitung der Ticket-Anforderung festgestellt worden.

Lösung

Vergewissern Sie sich, dass der Server, mit dem Sie kommunizieren, sich im selben Bereich wie der Client befindet, oder dass die Bereichskonfigurationen korrekt sind.

Fehlermeldung

Client oder Server hat einen Nullschlüssel
Ursache

Der Hauptbenutzer hat einen Nullschlüssel.

Lösung

Ändern Sie mit dem Befehl cpw aus kadmin(1M) den Hauptbenutzer so ab, dass er keinen Nullschlüssel hat.

Fehlermeldung

Verbindungsfehler bei Server während der Initialisierung der kadmin-Schnittstelle
Ursache

Beim als Admin-Server (Master-KDC) angegebenen Host wurde kadmind nicht ausgeführt.

Lösung

Vergewissern Sie sich, dass Sie den richtigen Hostnamen als Master-KDC angegeben haben. Wenn Sie den richtigen Hostnamen angegeben haben, dann stellen Sie sicher, dass kadmind auf dem von Ihnen angegebenen Master-KDC ausgeführt wird.

Fehlermeldung

Konfigurationsfehler: Die Anforderung von Prüfsummen mit "-c" ist mit der 
Möglichkeit von Kerberos V4-Verbindungen nicht kompatibel
Ursache

Authentisierung mit Prüfsumme wurde nicht mit dem Client verhandelt. Der Client könnte ein altes Kerberos V5-Protokoll verwenden, das keine Unterstützung beim Verbindungsaufbau bietet.

Lösung

Stellen Sie sicher, dass der Client ein Kerberos V5-Protokoll verwendet, welches Unterstützung beim Verbindungsaufbau bietet.

Fehlermeldung

Falsche Berechtigung für Cache-Datei der Berechtigungsnachweise
Ursache

Sie haben nicht die passenden Lese- oder Schreibrechte für die Cache-Datei (/tmp/krb5cc_ uid).

Lösung

Stellen Sie sicher, dass Sie Lese- und Schreibrechte für den Berechtigungsnachweis-Cache haben.

Fehlermeldung

E/A-Operation auf Berechtigungsnachweis-Cache XXX fehlgeschlagen
Ursache

Kerberos hatte beim Schreiben auf Berechtigungsnachweis-Cache (/tmp/krb5cc_uid) des Systems ein Problem.

Lösung

Vergewissern Sie sich mithilfe des Befehls df, dass der Berechtigungsnachweis-Cache nicht entfernt wurde, und dass freier Speicherplatz auf dem Gerät vorhanden ist.

Fehlermeldung

Integritätsprüfung für Entschlüsselung fehlgeschlagen
Ursache

Sie könnten ein ungültiges Ticket haben.

Lösung

  1. Stellen Sie sicher, dass Ihre Berechtigungsnachweise gültig sind. Vernichten Sie Ihre Tickets mit kdestroy und erstellen Sie mit kinit neue Tickets.

  2. Vergewissern Sie sich, dass der Zielhost eine Schlüsseltabelle mit der richtigen Version des Service-Schlüssels hat. Zeigen Sie mithilfe von kadmin(1M) die Schlüsselversionsnummer des Service-Hauptbenutzers (zum Beispiel host/FQDN_hostname) in der Kerberos Datenbank an, und rufen Sie klist- k auf dem Zielhost auf, um zu prüfen, ob dieser dieselbe Schlüsselversionsnummer hat.

Fehlermeldung

Wiederholungszähler für des_read überschritten
Ursache

Beim Lesen von Daten ist ein Fehler wiederholt aufgetreten.

Lösung

Suchen Sie nach anderen möglichen Problemen im System. Untersuchen Sie andere syslog-Meldungen nach weiteren Hinweisen.

Fehlermeldung

df: kann nicht statvfs für Dateisystem ausführen: ungültiges Argument
Ursache

Der Befehl df kann nicht auf das mit Kerberos ausgestattete und zur Zeit eingehängte NFS-Dateisystem zugreifen, um seinen Bericht zu generieren, weil Sie nicht mehr die entsprechenden root-Berechtigungsnachweise haben. Wenn Sie Ihre Berechtigungsnachweise für ein eingehängtes, mit Kerberos ausgestattetes Dateisystem vernichten, wird das Dateisystem nicht automatisch ausgehängt.

Lösung

Sie müssen neue root-Berechtigungsnachweise erstellen, um auf des mit Kerberos ausgestattete Dateisystem zuzugreifen. Wenn Sie keinen Zugriff auf das mit Kerberos ausgestattete Dateisystem mehr benötigen, hängen Sie das Dateisystem aus.

Fehlermeldung

Verschlüsselung konnte nicht aktiviert werden. Auf Wiedersehen.
Ursache

Verschlüsselung konnte nicht mit dem Server verhandelt werden.

Lösung

Starten Sie die Authentisierungsfehlersuche durch Aufruf des Befehls telnet mit toggle encdebug, und schauen Sie die Meldungen der Fehlersuche nach weiteren Hinweisen durch.

Fehlermeldung

Verschlüsselung wurde nicht erfolgreich verhandelt. Auf Wiedersehen.
Ursache

Verschlüsselung konnte nicht verhandelt werden.

Lösung

Suchen Sie nach Fehlermeldungen in der KDC-Protokolldatei.

Fehlermeldung

Endes des Berechtigungsnachweis-Cache erreicht
Ursache

Ein Fehler ist beim Lesen des Berechtigungsnachweis-Cache (/tmp/krb5cc_uid) aufgetreten.

Lösung

Stellen Sie sicher, dass der Berechtigungsnachweis-Cache gelesen werden kann und Daten enthält.

Fehlermeldung

Berechtigungsnachweis-Cache konnte nicht abgerufen werden
Ursache

Bei der Initialisierung von kadmin ist ein Fehler aufgetreten, als kadmin versucht hat, die Berechtigungsnachweise für den admin-Hauptbenutzer abzurufen.

Lösung

Vergewissern Sie sich, dass Sie bei Ausführung von kadmin den richtigen Hauptbenutzer bzw. das richtige Passwort verwendet haben.

Fehlermeldung

Feld ist für diese Implementierung zu lang
Ursache

Die von einer kerberosfähigen Anwendung gesendete Nachricht war zu lang. Kerberos kann Nachrichten mit maximal 65535 Byte verarbeiten. Außerdem gibt es Einschränkungen bei einzelnen Feldern innerhalb einer von Kerberos gesendeten Protokollnachricht.

Lösung

Stellen Sie sicher, dass die mit Kerberos ausgestatteten Anwendungen Nachrichten mit gültigen Längen senden.

Fehlermeldung

GSS-API-Fehler (oder Kerberos-Fehler)
Ursache

Dies ist eine allgemeine GSS-API-oder Kerberos-Fehlermeldung, die durch mehrere unterschiedliche Probleme verursacht werden kann.

Lösung

Schauen Sie sich die Datei /etc/krb5/kdc.log an, um die speziellere GSS-API-Fehlermeldung zu finden, die beim Auftreten dieses Fehlers protokolliert wurde.

Fehlermeldung

Hostname kann nicht kanonisiert werden
Ursache

Kerberos kann den Hostnamen nicht vollständig qualifizieren.

Lösung

Vergewissern Sie sich, dass der Hostname in DNS enthalten ist, und dass die Zuordnungen Hostname:Adresse und Adresse:Hostname konsistent sind.

Fehlermeldung

Ungültiges bereichsübergreifendes Ticket
Ursache

Das gesendete Ticket hatte nicht die korrekten bereichsübergreifenden Angaben. Bei den Bereichen wurden möglicherweise nicht die richtigen Vertrauensbeziehungen zueinander eingerichtet.

Lösung

Vergewissern Sie sich, dass die Bereiche die richtigen Vertrauensbeziehungen zueinander haben.

Fehlermeldung

Falsches Format der Kerberos-Konfigurationsdatei
Ursache

Die Kerberos-Konfigurationsdatei (krb5.conf) hat ungültige Einträge.

Lösung

Stellen Sie sicher, dass auf alle Relationen in der Datei krb5.conf ein Gleichheitszeichen (=) und ein Wert folgt, und überprüfen Sie, dass jeder Unterabschnitt paarweise eckige Klammern enthält.

Fehlermeldung

Unpassender Prüfsummentyp in Nachricht
Ursache

Die Nachricht enthielt einen ungültigen Prüfsummentyp.

Lösung

Prüfen Sie, welche gültigen Prüfsummentypen in den Dateien krb5.conf und kdc.conf angegeben sind.

Fehlermeldung

Falsche Netzwerkadresse
Ursache

Es gab eine fehlende Übereinstimmung bei der Netzwerkadresse. Die Netzwerkadresse im weiterzuleitenden Ticket unterschied sich von der Netzwerkadresse, an der das Ticket verarbeitet wurde. Das kann beim Weiterleiten von Tickets vorkommen.

Lösung

Vergewissern Sie sich, dass die Netzwerkadressen korrekt sind; vernichten Sie Ihre Tickets mit kdestroy, und erstellen Sie neue Tickets mit kinit.

Fehlermeldung

Ungültiges Flag für Dateisperrmodus
Ursache

Ein interner Kerberos-Fehler ist aufgetreten.

Lösung

Melden Sie dies bitte als Fehler.

Fehlermeldung

Ungültiger Nachrichtentyp für Verschlüsselung angegeben
Ursache

Kerberos konnte den Typ der Nachricht, die von der mit Kerberos ausgestatteten Anwendung gesendet wurde, nicht erkennen.

Lösung

Wenn Sie eine mit Kerberos ausgestattete Anwendung verwenden, die an Ihrem Standort selbst oder von einem Hersteller entwickelt wurde, stellen Sie sicher, dass diese Anwendung Kerberos richtig verwendet.

Fehlermeldung

Ungültige Anzahl von Zeichenklassen
Ursache

Das von Ihnen eingegebene Passwort für den Hauptbenutzer enthält nicht so viele Passwortklassen, wie durch die Hauptbenutzer-Richtlinie erzwungen.

Lösung

Vergewissern Sie sich, dass Sie ein Passwort mit der Mindestanzahl von Passwortklassen eingeben, die von der Richtlinie verlangt wird.

Fehlermeldung

KADM err: Speicherreservierungsfehler
Ursache

Es gibt zu wenig Hauptspeicher, um kadmin auszuführen.

Lösung

Geben Sie Hauptspeicher frei, und versuchen Sie noch einmal, kadmin auszuführen.

Fehlermeldung

KDC kann angeforderte Option nicht erfüllen
Ursache

Das KDC hat die angeforderte Option nicht zugelassen. Das Problem lag möglicherweise daran, dass Nachdatieren oder weiterleitbare Optionen angefordert wurden, und das KDC hat das nicht zugelassen. Ein anderes Problem könnte sein, dass Sie die Verlängerung eines TGT angefordert haben, Sie jedoch kein verlängerbares TGT besitzen.

Lösung

Finden Sie heraus, ob Sie eine Option anfordern, die das KDC nicht erlaubt, oder ob Sie etwas anfordern, was Sie nicht besitzen.

Fehlermeldung

KDC-Richtlinie weist Anforderung zurück
Ursache

Die KDC-Richtlinie hat die Anforderung nicht zugelassen. Zum Beispiel enthielt die Anforderung an das KDC keine IP-Adresse, oder es wurde eine Weiterleitung angefordert, doch das KDC hat es nicht zugelassen.

Lösung

Vergewissern Sie sich, dass Sie kinit mit den richtigen Optionen verwenden. Falls nötig, ändern Sie die dem Hauptbenutzer zugewiesene Richtlinie, oder ändern Sie die Attribute des Hauptbenutzers, um die Anforderung zu ermöglichen. Sie können mithilfe von kadmin(1M) die Richtlinie oder den Hauptbenutzer ändern.

Fehlermeldung

KDC-Antwort entspricht nicht den Erwartungen
Ursache

Die Antwort des KDC enthielt nicht den erwarteten Hauptbenutzernamen, oder andere Werte waren in der Antwort falsch.

Lösung

Vergewissern Sie sich, dass das KDC, mit dem Sie kommunizieren, dem Entwurf RFC1510 entspricht, dass die von Ihnen gesendete Anforderung eine Kerberos V5-Anforderung ist, und dass das KDC zur Verfügung steht.

Fehlermeldung

Kerberos V5 weist die Authentisierung zurück
Ursache

Authentisierung konnte nicht mit dem Server verhandelt werden.

Lösung

Starten Sie die Authentisierungsfehlersuche durch Aufrufen des Befehls telnet mit toggle authdebug, und schauen Sie die Meldungen der Fehlersuche nach weiteren Hinweisen durch. Stellen Sie auch sicher, dass Sie gültige Berechtigungsnachweise haben.

Fehlermeldung

Schlüsseltabelleneintrag nicht gefunden
Ursache

Es gibt keinen Eintrag für den Service-Hauptbenutzer in der Schlüsseltabelle des Anwendungsservers im Netzwerk.

Lösung

Fügen Sie den entsprechenden Service-Hauptbenutzer zur Schlüsseltabelle des Servers hinzu, damit dieser den Kerberos-Dienst zur Verfügung stellen kann.

Fehlermeldung

Schlüssel-Versionsnummer für Hauptbenutzer in Schlüsseltabelle ist falsch
Ursache

Die Schlüsselversion eines Hauptbenutzers ist in der Schlüsseltabelle und in der Kerberos-Datenbank unterschiedlich. Entweder ist ein Service geändert worden, oder es könnte sein, dass Sie ein altes Service-Ticket verwenden.

Lösung

Wenn ein Service-Schlüssel geändert worden ist (zum Beispiel über den Befehl kadmin), müssen Sie den neuen Schlüssel auslesen und in der Schlüsseltabelle des Hosts speichern, auf dem der Service ausgeführt wird.

Oder es könnte sein, dass Sie ein altes Service-Ticket verwenden, das einen älteren Schlüssel enthält. Sie können kdestroy und dann erneut kinit ausführen.

Fehlermeldung

login: load_modules: kann das Modul "/usr/lib/security/pam_krb5.so.1" nicht öffnen.
Ursache

Entweder fehlt das Kerberos PAM-Modul, oder es ist keine gültige ausführbare Binärdatei.

Lösung

Vergewissern Sie sich, dass das Kerberos PAM-Modul sich in /usr/lib/security befindet, und dass es sich um eine gültige ausführbare Binärdatei handelt. Darüber hinaus muss /etc/pam.conf den richtigen Pfad zu pam_krb5.so.1 enthalten.

Fehlermeldung

Schleife in krb5_get_in_tkt entdeckt
Ursache

Kerberos hat mehrere Versuche unternommen, die Anfangstickets zu erhalten, blieb jedoch erfolglos.

Lösung

Stellen Sie sicher, dass wenigstens ein KDC auf Authentisierungsanforderungen reagiert.

Fehlermeldung

Masterschlüssel stimmt nicht mit Datenbank überein
Ursache

Der geladene Datenbank-Abzug ist nicht aus einer Datenbank erstellt worden, die den Masterschlüssel enthielt, der in /var/krb5/.k5.BEREICH festgelegt ist.

Lösung

Stellen Sie sicher, dass der Masterschlüssel im geladenen Datenbank-Abzug mit dem in /var/krb5/.k5. BEREICH gespeicherten Masterschlüssel übereinstimmt.

Fehlermeldung

Übereinstimmender Berechtigungsnachweis nicht gefunden
Ursache

Der übereinstimmende Berechtigungsnachweis für die Anforderung wurde nicht gefunden. Ihre Anforderung verlangt Berechtigungsnachweise, die im Berechtigungsnachweis-Cache nicht vorhanden sind.

Lösung

Vernichten Sie Ihre Tickets mit kdestroy und erstellen Sie mit kinit neue Tickets.

Fehlermeldung

Nachricht nicht in Reihenfolge
Ursache

Nachrichten, die in vertraulicher Reihenfolge gesendet wurden, sind nicht in Reihenfolge angekommen. Einige Nachrichten könnten bei der Übertragung verlorengegangen sein.

Lösung

Initialisieren Sie die Kerberos-Sitzung noch einmal.

Fehlermeldung

Nachrichtenstrom geändert
Ursache

Die berechnete Prüfsumme und die von der Nachricht übermittelte Prüfsumme stimmen nicht überein. Die Nachricht könnte während der Übertragung verändert worden sein, was auf eine Schwachstelle in der Sicherheit hinweisen könnte.

Lösung

Stellen Sie sicher, dass die Nachrichten fehlerfrei über das Netzwerk gesendet werden. Da diese Meldung auch ein Hinweis auf mögliche Manipulationen an den Nachrichten während ihrer Übertragung sein kann, vernichten Sie mit dem Befehl kdestroy Ihre Tickets, und initialisieren Sie die von Ihnen verwendeten Kerberos-Dienste neu.