Solaris のシステム管理 (セキュリティサービス)

SEAM のエラーメッセージ

この節では、SEAM のエラーメッセージ、エラーの発生原因、およびその対処方法について説明します。

SEAM 管理ツールのエラーメッセージ

プリンシパルまたはポリシーのリストにアクセスできません; 「名前」フィールドを使用してください (Unable to view the list of principals or policies; use the Name field.)

原因:

ログインに使用した admin 主体には、Kerberos ACL ファイル (kadm5.acl) のリスト特権 (l) がありません。このため、主体リストまたはポリシーリストを表示できません。

対処方法:

主体名およびポリシー名を「名前 (Name)」フィールドに入力するか、適切な特権を持つ主体を使用してログインする必要があります。

JNI: Java array creation failed JNI: Java class lookup failed JNI: Java field lookup failed JNI: Java method lookup failed JNI: Java object lookup failed JNI: Java object field lookup failed JNI: Java string access failed JNI: Java string creation failed

原因:

SEAM 管理ツール (gkadmin) で使用される Java Native Interface で重大な問題が発生しました。

対処方法:

gkadmin を終了して再起動してください。それでも問題が解決しない場合は、バグを報告してください。

SEAM 共通エラーメッセージ (A - M)

この節では、SEAM コマンド、SEAM デーモン、PAM フレームワーク、GSS インタフェース、NFS サービス、および Kerberos ライブラリに共通するエラーメッセージを、英語版メッセージのアルファベット順 (A - M) に示します。

major_error minor_error 名前をインポート中に gssapi エラー (major_error minor_error gssapi error importing name)

原因:

サービス名をインポートしているときに、エラーが発生しました。

対処方法:

ホストのキータブファイルにサービス主体を登録してください。

kadmin インタフェースを初期化中に、krb5 admin サーバーホスト名が無効です。(Bad krb5 admin server hostname while initializing kadmin interface)

原因:

krb5.conf ファイルの admin_server に、無効なホスト名が設定されています。

対処方法:

krb5.conf ファイルの admin_server 行に、マスター KDC の正しいホスト名を指定してください。

要求したレルムの KDC に接続できません。(Cannot contact any KDC for requested realm)

原因:

要求されたレルムの KDC が応答しません。

対処方法:

1 つ以上の KDC (マスターまたはスレーブ) にアクセスできること、または krb5kdc デーモンが KDC 上で動作していることを確認してください。/etc/krb5/krb5.conf ファイルに指定されている構成済みの KDC (kdc = kdc_name) を確認してください。

ホストのレルムを決定できません。(Cannot determine realm for host)

原因:

Kerberos がホストのレルム名を判断できません。

対処方法:

デフォルトのレルム名を指定するか、Kerberos 構成ファイル (krb5.conf) にドメイン名の割り当てを設定してください。

要求したレルムの KDC が見つかりません。(Cannot find KDC for requested realm)

原因:

要求されたレルムに KDC が見つかりません。

対処方法:

Kerberos 構成ファイル (krb5.conf) の realm セクションに KDC を指定してください。

レルム realm_name を初期化できません。(cannot initialize realm realm_name)

原因:

KDC に stash ファイルが存在しない可能性があります。

対処方法:

KDC に stash ファイルが存在することを確認してください。存在しない場合は、kdb5_util コマンドを使用して stash ファイルを作成し、再度 krb5kdc コマンドを実行します。krb5kdc を起動するには、/etc/init.d/kdc スクリプトを実行するのが最も簡単です。

要求したレルムの KDC を解決できません。(Cannot resolve KDC for requested realm)

原因:

Kerberos がレルムの KDC を判断できません。

対処方法:

Kerberos 構成ファイル (krb5.conf) の realm セクションに KDC が指定されていることを確認してください。

パスワードは再利用できません。(Cannot reuse password)

原因:

入力したパスワードは、以前にこの主体によって使用されています。

対処方法:

以前に使用されたことのないパスワードを選択してください。KDC データベースに主体ごとに保持されているパスワード番号は、選択しないでください。このポリシーは、主体のポリシーによって適用されます。

転送された資格を取得できません。(Can't get forwarded credentials)

原因:

資格の転送ができません。

対処方法:

この主体に転送可能な資格を設定してください。

Kerberos 構成ファイルを開けません / 見つかりません。(Can't open/find Kerberos configuration file)

原因:

Kerberos 構成ファイル (krb5.conf) を使用できません。

対処方法:

krb5.conf ファイルが、正しい場所に配置されていることを確認してください。また、このファイルに正しいアクセス権が与えられていることを確認してください。このファイルに対する書き込み権は root、読み込み権はすべてのユーザーに与える必要があります。

初期チケット要求でクライアント / サーバーレルムが一致していません。(Client/server realm mismatch in initial ticket request)

原因:

初期チケット要求で、クライアントとサーバーのレルムが一致していません。

対処方法:

通信しているサーバーがクライアントと同じレルムに配置されていること、またはレルム構成が正しいことを確認してください。

クライアントまたはサーバーの鍵が null です。(Client or server has a null key)

原因:

クライアントまたはサーバーの鍵が空です。

対処方法:

kadmin の cpw コマンドを使用して、主体の鍵の値を入力してください。

kadmin インタフェースを初期化中に、サーバーとの通信の失敗です。(Communication failure with server while initializing kadmin interface)

原因:

管理サーバーとして入力したホスト (マスター KDC ) 上で、kadmind デーモンが動作していません。

対処方法:

マスター KDC に正しいホスト名が指定されていることを確認してください。ホスト名が正しい場合は、指定したマスター KDC 上で kadmind が動作していることを確認してください。

資格キャッシュファイルのアクセス権が正しくありません。(Credentials cache file permissions incorrect)

原因:

資格キャッシュ (/tmp/krb5cc_uid) に対する読み取り権または書き込み権が適切ではありません。

対処方法:

資格キャッシュに対する読み取り権および書き込み権があることを確認してください。

資格キャッシュ入出力操作が失敗しました。XXX (Credentials cache I/O operation failed XXX)

原因:

システムの資格キャッシュ (/tmp/krb5cc_ uid) に書き込むときに、Kerberos で問題が発生しました。

対処方法:

資格キャッシュが削除されていないことを確認し、df コマンドを使用してデバイスの空き領域を確認してください。

復号化で整合性チェックが失敗しました。(Decrypt integrity check failed)

原因:

チケットが無効である可能性があります。

対処方法:

資格が有効であることを確認してください。kdestroy を使用してチケットを破棄し、kinit を使用して新しいチケットを作成します。
対象ホストのキータブファイルに対して、正しいバージョンのサービス鍵が割り当てられていることを確認してください。kadmin を使用して、Kerberos データベースのサービス主体 (host/ FQDN_hostname など) の鍵バージョン番号を表示します。対象ホスト上で klist -k を使用して、鍵バージョン番号がその番号であることを確認します。

df: ファイルシステムを statvfs できません: 引数が正しくありません (df: cannot statvfs filesystem : Invalid argument)

原因:

適切な root 資格がないため、df コマンドを実行しても、現在マウントされている Kerberos NFS ファイルシステムにアクセスできません。マウントされている Kerberos ファイルシステムの資格を破棄しても、ファイルシステムは自動的にマウント解除されません。

対処方法:

Kerberos ファイルシステムにアクセスするには、新しい root 資格を作成する必要があります。この Kerberos ファイルシステムにアクセスする必要がない場合は、ファイルのマウントを解除してください。

資格キャッシュを取得できませんでした。(failed to obtain credentials cache)

原因:

kadmin の初期化中に、kadmin が admin 主体の資格を取得しようとしましたが、失敗しました。

対処方法:

kadmin を実行したときに、正しい主体とパスワードを使用したことを確認してください。

この実装ではフィールドが長すぎます。(Field is too long for this implementation)

原因:

Kerberos アプリケーションから送信されたメッセージのサイズが長すぎます。Kerberos が処理できる最大メッセージ長は、65,535 バイトです。また、Kerberos から送信されるプロトコルメッセージの各フィールドにも制限があります。

対処方法:

Kerberos アプリケーションから送信されたメッセージサイズが有効範囲であることを確認してください。

GSS-API (または Kerberos) エラー (GSS-API (or Kerberos) error)

原因:

このメッセージは、汎用 GSS-API または Kerberos のエラーメッセージで、いくつかの問題の組み合わせによって発生した可能性があります。

対処方法:

/etc/krb5/kdc.log ファイルを確認して、このエラーが発生したときに詳細な GSS-API エラーメッセージが記録されているかどうかを確認してください。

ホスト名を展開できません。(Hostname cannot be canonicalized)

原因:

Kerberos がホスト名を完全指定できません。

対処方法:

このホスト名が DNS に定義され、ホスト名とアドレス間の双方向の割り当てについて整合性を確認してください。

レルム間のチケットが無効です。(Illegal cross-realm ticket)

原因:

送信されたチケットのレルム間関係が正しくありません。レルム間に正しい信頼関係が設定されていない可能性があります。

対処方法:

使用しているレルム間の信頼関係が正しいことを確認してください。

Kerberos 構成ファイルのフォーマットが不適切です。(Improper format of Kerberos configuration file)

原因:

Kerberos 構成ファイル (krb5.conf) に無効なエントリがあります。

対処方法:

krb5.conf ファイル内のすべての関係式に、= 記号と値が使用されていることを確認してください。また、各下位セクションがカッコで囲まれていることも確認してください。

メッセージのチェックサムのタイプが不適切です。(Inappropriate type of checksum in message)

原因:

このメッセージに無効なチェックサムタイプが含まれています。

対処方法:

krb5.conf および kdc.conf ファイルに指定されているチェックサムタイプが有効であることを確認してください。

ネットアドレスが間違っています。(Incorrect net address)

原因:

ネットワークアドレスが一致しません。転送されたチケット内のネットワークアドレスが、チケットが処理されたときのネットワークアドレスと一致しません。このメッセージは、チケットの転送時に発生します。

対処方法:

ネットワークアドレスが正しいことを確認してください。kdestroy を使用してチケットを破棄し、kinit を使用して新しいチケットを作成します。

ファイルロックモードのフラグが無効です。(Invalid flag for file lock mode)

原因:

Kerberos の内部エラーが発生しました。

対処方法:

バグを報告してください。

符号化に対し無効なメッセージタイプが指定されました。(Invalid message type specified for encoding)

原因:

Kerberos アプリケーションから送信されたメッセージ形式を、Kerberos が認識できません。

対処方法:

使用するサイトまたはベンダーで開発した Kerberos アプリケーションを使用している場合は、Kerberos が正しく使用されていることを確認してください。

文字クラス数が正しくありません。(Invalid number of character classes)

原因:

主体に入力したパスワードに、主体のポリシーによって適用された数のパスワードクラスが含まれていません。

対処方法:

ポリシーに指定されている最小パスワードクラス数を使用して、パスワードを入力してください。

KADM エラー: メモリー割り当ての失敗です。(KADM err: Memory allocation failure)

原因:

kadmin の実行に必要なメモリーが不足しています。

対処方法:

メモリーを解放してから、kadmin を再実行してください。

KDC は要求したオプションを処理できません。(KDC can't fulfill requested option)

原因:

要求されたオプションを KDC が許可しませんでした。遅延または転送可能オプションが要求されましたが、KDC が許可しませんでした。または、TGT の更新が要求されましたが、更新可能な TGT が存在しない可能性があります。

対処方法:

KDC が許可しないオプションまたは使用できない種類のチケットを要求していないかどうかを確認してください。

KDC ポリシーは要求を拒否します。(KDC policy rejects request)

原因:

KDC ポリシーが要求を許可しませんでした。たとえば、KDC に対する要求に IP アドレスが含まれていなかったり、要求された転送を KDC が許可しなかった可能性があります。

対処方法:

正しいオプションを指定して kinit を実行していることを確認してください。必要に応じて、主体に関連付けられたポリシーを変更するか、要求が許可されるように主体の属性を変更します。ポリシーまたは主体を変更するには、kadmin を使用します。

KDC 応答は予期したものと一致しませんでした。(KDC reply did not match expectations)

原因:

KDC の応答に予期した主体名が含まれていないか、応答内のその他の値が正しくありません。

対処方法:

通信先の KDC が RFC1510 に準拠していること、送信している要求が Kerberos V5 要求であること、または KDC が有効であることを確認してください。

鍵テーブルエントリが見つかりません。(Key table entry not found)

原因:

ネットワークアプリケーションサーバーのキータブファイルに、サービス主体のエントリがありません。

対処方法:

サーバーのキータブファイルに適切なサービス主体を追加して、Kerberos サービスを提供できるようにしてください。

鍵テーブルのプリンシパルの鍵バージョン番号が正しくありません。(Key version number for principal in key table is incorrect)

原因:

キータブファイルと Kerberos データベース内の主体の鍵バージョンが異なります。サービスの鍵が変更されたか、旧サービスチケットを使用している可能性があります。

対処方法:

kadmin などによってサービスの鍵が変更されている場合は、新しい鍵を抽出して、サービスが動作しているホストのキータブファイルに格納する必要があります。

または、旧サービスチケットを使用しているため、鍵が古い可能性があります。kdestroy コマンドを実行し、次に kinit コマンドを再度実行してください。

login: load_modules: /usr/lib/security/pam_krb5.so.1 モジュールを開けません。(login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1)

原因:

Kerberos PAM モジュールが存在しないか、有効な実行可能バイナリではありません。

対処方法:

Kerberos PAM モジュールが /usr/lib/security ディレクトリに存在し、有効な実行可能バイナリであることを確認してください。また、/etc/pam.conf ファイルに pam_krb5.so.1 への正しいパスが指定されていることも確認してください。

krb5_get_in_tkt 内部でループが検出されました。(Looping detected inside krb5_get_in_tkt)

原因:

Kerberos が初期チケットを複数回取得しようとしましたが、失敗しました。

対処方法:

認証要求に対して 1 つ以上の KDC が応答していることを確認してください。

マスター鍵がデータベースと一致しません。(Master key does not match database)

原因:

読み込まれたデータベースのダンプが、マスター鍵 (/var/krb5/.k5. REALM に配置されている) を含むデータベースから作成されませんでした。

対処方法:

読み込まれたデータベースダンプ内のマスター鍵が、 /var/krb5/.k5.REALM に配置されているマスター鍵と一致していることを確認してください。

一致する資格が見つかりません。(Matching credential not found)

原因:

要求に一致する資格が見つかりませんでした。資格キャッシュで使用できない資格を要求しています。

対処方法:

kdestroy を使用してチケットを破棄し、kinit を使用して新しいチケットを作成してください。

メッセージの順序が違います。(Message out of order)

原因:

順次送信されたメッセージが順不同で着信しました。一部のメッセージが転送中に失われました。

対処方法:

Kerberos セッションを再度初期化してください。

メッセージストリームが変更されました。(Message stream modified)

原因:

計算されたチェックサムとメッセージのチェックサムが一致しませんでした。転送中のメッセージが変更された可能性があります。セキュリティ違反が発生している可能性があります。

対処方法:

メッセージがネットワーク経由で正しく送信されていることを確認してください。このメッセージが送信中に改変された可能性もあるため、 kdestroy を使用してチケットを破棄し、使用している Kerberos サービスを再度初期化してください。

SEAM 共通エラーメッセージ (N - Z)

この節では、SEAM コマンド、SEAM デーモン、PAM フレームワーク、GSS インタフェース、NFS サービス、および Kerberos ライブラリに共通するエラーメッセージを、英語版メッセージのアルファベット順 (N - Z) に示します。

資格キャッシュファイルが見つかりません。(No credentials cache file found)

原因:

Kerberos が資格キャッシュ (/tmp/krb5cc_uid) を見つけることができません。

対処方法:

資格ファイルが存在し、読み込み可能であることを確認してください。存在しない場合は、kinit を再度実行します。

操作には "privilege" 特権が必要です。(Operation requires "privilege" privilege)

原因:

使用された admin 主体に対して、kadm5.acl ファイルに設定されている適切な特権が割り当てられていません。

対処方法:

適切な特権を持つ主体を使用してください。または、kadm5.acl ファイルを変更して、使用した主体に適切な特権を割り当てます。通常は、名前の一部に /admin が含まれる主体には、適切な特権が割り当てられています。

PAM-KRB5: Kerberos V5 認証に失敗しました: パスワードが正しくありません。(PAM-KRB5: Kerberos V5 authentication failed: password incorrect)

原因:

UNIX パスワードと Kerberos パスワードが一致していません。ほとんどの Kerberos 以外のコマンド (login など) では、PAM を介して Kerberos に自動的に認証されるように、UNIX パスワードに指定したパスワードが使用されます。パスワードが異なる場合、Kerberos 認証は失敗します。

対処方法:

パスワードを要求されたら、Kerberos パスワードを入力します。

パスワードはパスワード辞書にあります。(Password is in the password dictionary)

原因:

入力したパスワードがパスワードディレクトリにすでに存在し、使用されています。選択したパスワードが適切ではありません。

対処方法:

パスワードクラスを組み合わせたパスワードを選択してください。

リプレイキャッシュコードでアクセス権がありません。(Permission denied in replay cache code)

原因:

システムの再実行キャッシュを開けませんでした。このサーバーは、現在のユーザー ID と異なるユーザー ID で最初に実行された可能性があります。

対処方法:

再実行キャッシュに適切なアクセス権が割り当てられていることを確認してください。再実行キャッシュは、Kerberos サーバーアプリケーションが動作するホストに格納されます (/usr/tmp/rc_ service_name)。現在の再実行キャッシュのアクセス権を変更する代わりに、再実行キャッシュを削除してから、Kerberos サーバーアプリケーションを別のユーザー ID で実行することもできます。

プロトコルバージョンが一致していません。(Protocol version mismatch)

原因:

Kerberos V4 要求が KDC に送信された可能性があります。SEAM では、Kerberos V5 プロトコルだけがサポートされます。

対処方法:

アプリケーションが Kerberos V5 プロトコルを使用していることを確認してください。

要求は再送です。(Request is a replay)

原因:

この要求は、すでにこのサーバーに送信され、処理が完了しています。チケットが盗まれた可能性があり、ほかのユーザーがチケットを再使用しようとしています。

対処方法:

しばらくしてから要求を再発行してください。

要求したプリンシパルとチケットは一致しません。(Requested principal and ticket don't match)

原因:

接続するサービス主体と使用するサービスチケットが一致しません。

対処方法:

DNS が適切に機能することを確認してください。別のベンダーのソフトウェアを使用する場合は、そのソフトウェアが主体名を正しく使用していることを確認します。

要求したプロトコルバージョンはサポートされていません。(Requested protocol version not supported)

原因:

Kerberos V4 要求が KDC に送信された可能性があります。SEAM では、Kerberos V5 プロトコルだけがサポートされます。

対処方法:

アプリケーションが Kerberos V5 プロトコルを使用していることを確認してください。

kadmin インタフェースを初期化中に、必須のパラメータが krb5.conf にありません。(Required parameters in krb5.conf missing while initializing kadmin interface)

原因:

krb5.conf ファイル内のパラメータ (admin_server パラメータなど) が存在しません。

対処方法:

存在しないパラメータを判断して、krb5.conf ファイルに追加します。

サーバーが認証を拒否しました (sendauth 交換で)。(Server rejected authentication (during sendauth exchange))

原因:

通信しようとしているサーバーが認証を拒否しました。ほとんどの場合、このエラーは Kerberos データベースを伝播するときに発生します。kpropd.acl ファイル、DNS、またはキータブファイルに問題が発生している可能性があります。

対処方法:

kprop 以外のアプリケーションを実行しているときにこのエラーが発生した場合は、サーバーのキータブファルが正しいかどうかを調査してください。

GSS サービス nfs@<host> の設定が失敗しました。NFS サービス資格を確認してください。(Set gss service nfs@<host> failed. Check nfs service credential.)

原因:

このメッセージは、share コマンドが「無効な引数」メッセージを表示して失敗したあとに、syslog により生成されます。キータブファイルが存在しないか、キータブファイル内に NFS サービス主体が存在しない可能性があります。

対処方法:

問題を特定するために、 klist -k を実行してキータブファイルが存在することを確認し、キータブファイル内にホストの NFS サービス主体が存在することを確認してください。

チケットはわれわれのものではありません。(The ticket isn't for us) チケット / オーセンティケータが一致しません。(Ticket/authenticator don't match)

原因:

チケットとオーセンティケータ (authenticator) が一致しません。要求内の主体名が、サービス主体の名前と一致していない可能性があります。送信されたチケットの主体が FQDN 名で、サービスが予期した主体が FQDN 以外の名前の場合 (またはこの逆の場合) に、この問題が発生します。

対処方法:

チケットの有効期限が切れました。(Ticket expired)

原因:

チケットが期限切れになっています。

対処方法:

kdestroy を使用してチケットを破棄し、kinit を使用して新しいチケットを作成してください。

チケットには遅延処理の資格がありません。(Ticket is ineligible for postdating)

原因:

この主体は、チケットの遅延を許可していません。

対処方法:

kadmin を使用して主体を変更し、遅延を許可してください。

チケットはまだ有効ではありません。(Ticket not yet valid)

原因:

遅延チケットはまだ有効でありません。

対処方法:

正しい日付で新しいチケットを作成するか、現在のチケットが有効になるまで待ちます。

不完全な入力ファイルを検出しました。(Truncated input file detected)

原因:

操作に使用されたデータベースダンプファイルが完全ではありません。

対処方法:

ダンプファイルを作成し直すか、別のデータベースダンプファイルを使用します。

要求したプリンシパルは正しくありません。(Wrong principal in request)

原因:

チケットの主体名が無効です。DNS または FQDN の問題が発生している可能性があります。

対処方法:

サービスの主体とチケットの主体が一致していることを確認してください。