SEAM 共通エラーメッセージ (A - M) (Solaris のシステム管理 (セキュリティサービス))

Solaris のシステム管理 (セキュリティサービス)

SEAM 共通エラーメッセージ (A - M)

この節では、SEAM コマンド、SEAM デーモン、PAM フレームワーク、GSS インタフェース、NFS サービス、および Kerberos ライブラリに共通するエラーメッセージを、英語版メッセージのアルファベット順 (A - M) に示します。

major_error minor_error 名前をインポート中に gssapi エラー (major_error minor_error gssapi error importing name)

原因:

サービス名をインポートしているときに、エラーが発生しました。

対処方法:

ホストのキータブファイルにサービス主体を登録してください。

kadmin インタフェースを初期化中に、krb5 admin サーバーホスト名が無効です。(Bad krb5 admin server hostname while initializing kadmin interface)

原因:

krb5.conf ファイルの admin_server に、無効なホスト名が設定されています。

対処方法:

krb5.conf ファイルの admin_server 行に、マスター KDC の正しいホスト名を指定してください。

要求されたレルムの KDC に接続できません。(Cannot contact any KDC for requested realm)

原因:

要求されたレルムの KDC が応答しません。

対処方法:

1 つ以上の KDC (マスターまたはスレーブ) にアクセスできること、または krb5kdc デーモンが KDC 上で動作していることを確認してください/etc/krb5/krb5.conf ファイルに指定されている構成済みの KDC (kdc = kdc_name) を確認してください。

ホスト用のレルムを決定できません。(Cannot determine realm for host)

原因:

Kerberos がホストのレルム名を判断できません。

対処方法:

デフォルトのレルム名を指定するか、Kerberos 構成ファイル (krb5.conf) にドメイン名の割り当てを設定してください。

要求されたレルムの KDC が見つかりません。(Cannot find KDC for requested realm)

原因:

要求されたレルムに KDC が見つかりません。

対処方法:

Kerberos 構成ファイル (krb5.conf) の realm セクションに KDC を指定してください。

レルム realm_name を初期化できません。(cannot initialize realm realm_name)

原因:

KDC に stash ファイルが存在しない可能性があります。

対処方法:

KDC に stash ファイルが存在することを確認してください。存在しない場合は、kdb5_util コマンドを使用して stash ファイルを作成し、再度 krb5kdc コマンドを実行します。krb5kdc を起動するには、/etc/init.d/kdc スクリプトを実行するのが最も簡単です。

要求されたレルムの KDC を解決できません。(Cannot resolve KDC for requested realm)

原因:

Kerberos がレルムの KDC を判断できません。

対処方法:

Kerberos 構成ファイル (krb5.conf) の realm セクションに KDC が指定されていることを確認してください。

パスワードは再利用できません。(Cannot reuse password)

原因:

入力したパスワードは、以前にこの主体によって使用されています。

対処方法:

以前に使用されたことのないパスワードを選択してください。KDC データベースに主体ごとに保持されているパスワード番号は、選択しないでください。このポリシーは、主体のポリシーによって適用されます。

転送された資格を取得できません。(Can't get forwarded credentials)

原因:

資格の転送ができません。

対処方法:

この主体に転送可能な資格を設定してください。

Kerberos 構成ファイルを開けません / 見つかりません。(Can't open/find Kerberos configuration file)

原因:

Kerberos 構成ファイル (krb5.conf) を使用できません。

対処方法:

krb5.conf ファイルが、正しい場所に配置されていることを確認してください。また、このファイルに正しいアクセス権が与えられていることを確認してください。このファイルに対する書き込み権は root、読み込み権はすべてのユーザーに与える必要があります。

初期チケット要求でクライアント / サーバーレルムが一致していません。(Client / server realm mismatch in initial ticket request)

原因:

初期チケット要求で、クライアントとサーバーのレルムが一致していません。

対処方法:

通信しているサーバーがクライアントと同じレルムに配置されていること、またはレルム構成が正しいことを確認してください。

クライアントまたはサーバーの鍵が null です。(Client or server has a null key)

原因:

クライアントまたはサーバーの鍵が空です。

対処方法:

kadmin の cpw コマンドを使用して、主体の鍵の値を入力してください。

kadmin インタフェースを初期化中に、サーバーとの通信の失敗です。(Communication failure with server while initializing kadmin interface)

原因:

管理サーバーとして入力したホスト (マスター KDC ) 上で、kadmind デーモンが動作していません。

対処方法:

マスター KDC に正しいホスト名が指定されていることを確認してください。ホスト名が正しい場合は、指定したマスター KDC 上で kadmind が動作していることを確認してください。

資格キャッシュファイルのアクセス権が正しくありません。(Credentials cache file permissions incorrect)

原因:

資格キャッシュ (/tmp/krb5cc_uid) に対する読み取り権または書き込み権が適切ではありません。

対処方法:

資格キャッシュに対する読み取り権および書き込み権があることを確認してください。

資格キャッシュ入出力操作が失敗しました。XXX (Credentials cache I/O operation failed XXX)

原因:

システムの資格キャッシュ (/tmp/krb5cc_ uid) に書き込むときに、Kerberos で問題が発生しました。

対処方法:

資格キャッシュが削除されていないことを確認し、df コマンドを使用してデバイスの空き領域を確認してください。

復号化で整合性チェックが失敗しました。(Decrypt integrity check failed)

原因:

チケットが無効である可能性があります。

対処方法:

資格が有効であることを確認してください。kdestroy を使用してチケットを破棄し、kinit を使用して新しいチケットを作成します。
対象ホストのキータブファイルに対して、正しいバージョンのサービス鍵が割り当てられていることを確認してください。kadmin を使用して、Kerberos データベースのサービス主体 (host/ FQDN_hostname など) の鍵バージョン番号を表示します。対象ホスト上で klist -k を使用して、鍵バージョン番号がその番号であることを確認します。

df: ファイルシステムを statvfs できません: 引数が正しくありません。(df: cannot statvfs filesystem: Invalid argument)

原因:

適切な root 資格がないため、df コマンドを実行しても、現在マウントされている Kerberos NFS ファイルシステムにアクセスできません。マウントされている Kerberos ファイルシステムの資格を破棄しても、ファイルシステムは自動的にマウント解除されません。

対処方法:

Kerberos ファイルシステムにアクセスするには、新しい root 資格を作成する必要があります。この Kerberos ファイルシステムにアクセスする必要がない場合は、ファイルのマウントを解除してください。

資格キャッシュを取得できませんでした。(failed to obtain credentials cache)

原因:

kadmin の初期化中に、kadmin が admin 主体の資格を取得しようとしましたが、失敗しました。

対処方法:

kadmin を実行したときに、正しい主体とパスワードを使用したことを確認してください。

この実装ではフィールドが長すぎます。(Field is too long for this implementation)

原因:

Kerberos アプリケーションから送信されたメッセージのサイズが長すぎます。Kerberos が処理できる最大メッセージ長は、65,535 バイトです。また、Kerberos から送信されるプロトコルメッセージの各フィールドにも制限があります。

対処方法:

Kerberos アプリケーションから送信されたメッセージサイズが有効範囲であることを確認してください。

GSS-API (または Kerberos) エラー (GSS-API (or Kerberos) error)

原因:

このメッセージは、汎用 GSS-API または Kerberos のエラーメッセージで、いくつかの問題の組み合わせによって発生した可能性があります。

対処方法:

/etc/krb5/kdc.log ファイルを確認して、このエラーが発生したときに詳細な GSS-API エラーメッセージが記録されているかどうかを確認してください。

ホスト名を展開できません。(Hostname cannot be canonicalized)

原因:

Kerberos がホスト名を完全指定できません。

対処方法:

このホスト名が DNS に定義され、ホスト名とアドレス間の双方向の割り当てについて整合性を確認してください。

レルム間のチケットが無効です。(Illegal cross-realm ticket)

原因:

送信されたチケットのレルム間関係が正しくありません。レルム間に正しい信頼関係が設定されていない可能性があります。

対処方法:

使用しているレルム間の信頼関係が正しいことを確認してください。

Kerberos 構成ファイルのフォーマットが不適切です。(Improper format of Kerberos configuration file)

原因:

Kerberos 構成ファイル (krb5.conf) に無効なエントリがあります。

対処方法:

krb5.conf ファイル内のすべての関係式に、= 記号と値が使用されていることを確認してください。また、各下位セクションがカッコで囲まれていることも確認してください。

メッセージのチェックサムのタイプが不適切です。(Inappropriate type of checksum in message)

原因:

このメッセージに無効なチェックサムタイプが含まれています。

対処方法:

krb5.conf および kdc.conf ファイルに指定されているチェックサムタイプが有効であることを確認してください。

ネットアドレスが間違っています。(Incorrect net address)

原因:

ネットワークアドレスが一致しません。転送されたチケット内のネットワークアドレスが、チケットが処理されたときのネットワークアドレスと一致しません。このメッセージは、チケットの転送時に発生します。

対処方法:

ネットワークアドレスが正しいことを確認してください。kdestroy を使用してチケットを破棄し、kinit を使用して新しいチケットを作成します。

ファイルロックモードのフラグが無効です。(Invalid flag for file lock mode)

原因:

Kerberos の内部エラーが発生しました。

対処方法:

バグを報告してください。

符号化に対し無効なメッセージタイプが指定されました。(Invalid message type specified for encoding)

原因:

Kerberos アプリケーションから送信されたメッセージ形式を、Kerberos が認識できません。

対処方法:

使用するサイトまたはベンダーで開発した Kerberos アプリケーションを使用している場合は、Kerberos が正しく使用されていることを確認してください。

文字クラス数が正しくありません。(Invalid number of character classes)

原因:

主体に入力したパスワードに、主体のポリシーによって適用された数のパスワードクラスが含まれていません。

対処方法:

ポリシーに指定されている最小パスワードクラス数を使用して、パスワードを入力してください。

KADM エラー: メモリー割り当ての失敗です。(KADM err: Memory allocation failure)

原因:

kadmin の実行に必要なメモリーが不足しています。

対処方法:

メモリーを解放してから、kadmin を再実行してください。

KDC は要求したオプションを処理できません。(KDC can't fulfill requested option)

原因:

要求されたオプションを KDC が許可しませんでした。遅延または転送可能オプションが要求されましたが、KDC が許可しませんでした。または、TGT の更新が要求されましたが、更新可能な TGT が存在しない可能性があります。

対処方法:

KDC が許可しないオプションまたは使用できない種類のチケットを要求していないかどうかを確認してください。

KDC ポリシーは要求を拒否します。(KDC policy rejects request)

原因:

KDC ポリシーが要求を許可しませんでした。たとえば、KDC に対する要求に IP アドレスが含まれていなかったり、要求された転送を KDC が許可しなかった可能性があります。

対処方法:

正しいオプションを指定して kinit を実行していることを確認してください。必要に応じて、主体に関連付けられたポリシーを変更するか、要求が許可されるように主体の属性を変更します。ポリシーまたは主体を変更するには、kadmin を使用します。

KDC 応答は予期したものと一致しませんでした。(KDC reply did not match expectations)

原因:

KDC の応答に予期した主体名が含まれていないか、応答内のその他の値が正しくありません。

対処方法:

通信先の KDC が RFC1510 に準拠していること、送信している要求が Kerberos V5 要求であること、または KDC が有効であることを確認してください。

鍵テーブルエントリが見つかりません。(Key table entry not found)

原因:

ネットワークアプリケーションサーバーのキータブファイルに、サービス主体のエントリがありません。

対処方法:

サーバーのキータブファイルに適切なサービス主体を追加して、Kerberos サービスを提供できるようにしてください。

鍵テーブルのプリンシパルの鍵バージョン番号が正しくありません。(Key version number for principal in key table is incorrect)

原因:

キータブファイルと Kerberos データベース内の主体の鍵バージョンが異なります。サービスの鍵が変更されたか、旧サービスチケットを使用している可能性があります。

対処方法:

kadmin などによってサービスの鍵が変更されている場合は、新しい鍵を抽出して、サービスが動作しているホストのキータブファイルに格納する必要があります。

または、旧サービスチケットを使用しているため、鍵が古い可能性があります。kdestroy コマンドを実行し、次に kinit コマンドを再度実行してください。

login: load_modules: /usr/lib/security/pam_krb5.so.1 モジュールを開けません。(login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1)

原因:

Kerberos PAM モジュールが存在しないか、有効な実行可能バイナリではありません。

対処方法:

Kerberos PAM モジュールが /usr/lib/security ディレクトリに存在し、有効な実行可能バイナリであることを確認してください。また、/etc/pam.conf ファイルに pam_krb5.so.1 への正しいパスが指定されていることも確認してください。

krb5_get_in_tkt 内部でループが検出されました。(Looping detected inside krb5_get_in_tkt)

原因:

Kerberos が初期チケットを複数回取得しようとしましたが、失敗しました。

対処方法:

認証要求に対して 1 つ以上の KDC が応答していることを確認してください。

マスター鍵がデータベースと一致しません。(Master key does not match database）

原因:

読み込まれたデータベースのダンプが、マスター鍵 (/var/krb5/.k5. REALM に配置されている) を含むデータベースから作成されませんでした。

対処方法:

読み込まれたデータベースダンプ内のマスター鍵が、 /var/krb5/.k5.REALM に配置されているマスター鍵と一致していることを確認してください。

一致する資格が見つかりません。(Matching credential not found)

原因:

要求に一致する資格が見つかりませんでした。資格キャッシュで使用できない資格を要求しています。

対処方法:

kdestroy を使用してチケットを破棄し、kinit を使用して新しいチケットを作成してください。

メッセージの順序が違います。(Message out of order)

原因:

順次送信されたメッセージが順不同で着信しました。一部のメッセージが転送中に失われました。

対処方法:

Kerberos セッションを再度初期化してください。

メッセージストリームが変更されました。(Message stream modified)

原因:

計算されたチェックサムとメッセージのチェックサムが一致しませんでした。転送中のメッセージが変更された可能性があります。セキュリティ違反が発生している可能性があります。

対処方法:

メッセージがネットワーク経由で正しく送信されていることを確認してください。このメッセージが送信中に改変された可能性もあるため、 kdestroy を使用してチケットを破棄し、使用している Kerberos サービスを再度初期化してください。