Kerberos-Fehlermeldungen

Dieser Abschnitt enthält Informationen zu Kerberos-Fehlermeldungen, einschließlich der Ursachen von Fehlern und Möglichkeiten zur Fehlerbehebung.

Fehlermeldungen des SEAM-Tools

Unable to view the list of principals or policies; use the Name field.

Grund: Das Hauptelement admin, mit dem Sie sich angemeldet haben, verfügt nicht über die Listenberechtigung (l) in der ACL-Datei von Kerberos (kadm5.acl). Demzufolge können Sie die Hauptelement- oder Richtlinienliste nicht anzeigen.

Lösung: Sie müssen die Namen der Hauptelemente und Richtlinien in das Feld "Name" eingeben, um sie verwenden zu können, oder sich mit einem Hauptelement mit den entsprechenden Berechtigungen anmelden.

JNI: Java array creation failed

JNI: Java class lookup failed

JNI: Java field lookup failed

JNI: Java method lookup failed

JNI: Java object lookup failed

JNI: Java object field lookup failed

JNI: Java string access failed

JNI: Java string creation failed

Grund: Es besteht ein schwerwiegendes Problem mit der vom SEAM-Tool (gkadmin) verwendeten nativen Java-Schnittstelle (Java Native Interface).

Lösung: Beenden Sie den Befehl gkadmin und starten Sie ihn neu. Wenn das Problem weiterhin besteht, melden Sie bitte einen Fehler.

Häufige Kerberos-Fehlermeldungen (A – M)

Dieser Abschnitt umfasst eine alphabetische Liste (A – M) häufiger Fehlermeldungen für die Kerberos-Befehle und -Dämonen, das PAM-Framework, die GSS-Schnittstelle, den NFS-Service sowie die Kerberos-Bibliothek.

All authentication systems disabled; connection refused

Grund: Diese Version von rlogind unterstützt keine Authentifizierungsmechanismen.

Lösung: Stellen Sie sicher, dass rlogind mit der Option -k aufgerufen wird.

Another authentication mechanism must be used to access this host

Grund: Die Authentifizierung konnte nicht durchgeführt werden.

Lösung: Stellen Sie sicher, dass der Client den Kerberos V5-Mechanismus für die Authentifizierung verwendet.

Authentication negotiation has failed, which is required for encryption. Good bye.

Grund: Die Authentifizierung konnte nicht mit dem Server ausgehandelt werden.

Lösung: Starten Sie die Fehlersuche für die Authentifizierung, indem Sie den Befehl telnet mit dem Befehl toggle authdebug ausführen, und lesen Sie die Fehlersuchmeldungen für weitere Hinweise. Vergewissern Sie sich außerdem, dass Sie über gültige Berechtigungsnachweise verfügen.

Bad krb5 admin server hostname while initializing kadmin interface

Grund: Für admin_server in der Datei krb5.conf wurde ein ungültiger Hostname konfiguriert.

Lösung: Geben Sie den richtigen Hostnamen für das Master-KDC in der Zeile admin_server der Datei krb5.conf an.

Bad lifetime value

Grund: Der angegebene Lebensdauerwert ist nicht gültig oder nicht richtig formatiert.

Lösung: Vergewissern Sie sich, dass der angegebene Wert mit den im Abschnitt zu den Zeitformaten auf der Manpage kinit(1) enthaltenen Angaben übereinstimmt.

Bad start time value

Grund: Der angegebene Wert für die Startzeit ist nicht gültig oder nicht richtig formatiert.

Lösung: Vergewissern Sie sich, dass der angegebene Wert mit den im Abschnitt zu den Zeitformaten auf der Manpage kinit(1) enthaltenen Angaben übereinstimmt.

Cannot contact any KDC for requested realm

Grund: Im angeforderten Bereich hat kein KDC geantwortet.

Lösung: Stellen Sie sicher, dass mindestens ein KDC (entweder das Master- oder ein Slave-KDC) erreichbar ist oder der Dämon krb5kdc auf den KDCs ausgeführt wird. Überprüfen Sie die Datei /etc/krb5/krb5.conf auf die Liste der konfigurierten KDCs (kdc = kdc-name ).

Cannot determine realm for host

Grund: Kerberos kann den Bereichsnamen für den Host nicht bestimmen.

Lösung: Stellen Sie sicher, dass ein Standardbereichsname vorhanden ist oder die Domainnamenszuordnungen in der Kerberos-Konfigurationsdatei festgelegt sind (krb5.conf).

Cannot find KDC for requested realm

Grund: Im angeforderten Bereich wurde kein KDC gefunden.

Lösung: Stellen Sie sicher, dass im Abschnitt realm der Kerberos-Konfigurationsdatei (krb5.conf) ein KDC angegeben ist.

cannot initialize realm realm-name

Grund: Das KDC weist möglicherweise keine Stash-Datei auf.

Lösung: Vergewissern Sie sich, dass das KDC über eine Stash-Datei verfügt. Ist dies nicht der Fall, erstellen Sie eine Stash-Datei mit dem Befehl kdb5_util und versuchen Sie, den Befehl krb5kdc neu zu starten.

Cannot resolve KDC for requested realm

Grund: Kerberos kann kein KDC für den Bereich bestimmen.

Lösung: Stellen Sie sicher, dass im Abschnitt realm der Kerberos-Konfigurationsdatei (krb5.conf) ein KDC angegeben ist.

Cannot reuse password

Grund: Das von Ihnen angegebene Passwort wurde bereits zuvor von diesem Hauptelement verwendet.

Lösung: Wählen Sie ein Passwort, das nicht zuvor verwendet wurde (zumindest nicht innerhalb der Anzahl der Passwörter, die für jedes Hauptelement in der KDC-Datenbank gespeichert sind). Diese Richtlinie wird von der Richtlinie des Hauptelements durchgesetzt.

Can't get forwarded credentials

Grund: Die Weiterleitung der Berechtigungsnachweise konnte nicht eingerichtet werden.

Lösung: Stellen Sie sicher, dass das Hauptelement über weiterleitbare Berechtigungsnachweise verfügt.

Can't open/find Kerberos configuration file

Grund: Die Kerberos-Konfigurationsdatei ( krb5.conf) war nicht verfügbar.

Lösung: Vergewissern Sie sich, dass die Datei krb5.conf am richtigen Speicherort verfügbar ist und die richtigen Berechtigungen aufweist. Diese Datei sollte von root geschrieben und von allen anderen Benutzern gelesen werden können.

Client did not supply required checksum--connection rejected

Grund: Die Authentifizierung mit Prüfsumme wurde nicht mit dem Client ausgehandelt. Der Client verwendet möglicherweise ein altes Kerberos V5-Protokoll, das die anfängliche Verbindungsunterstützung nicht unterstützt.

Lösung: Vergewissern Sie sich, dass der Client ein Kerberos V5-Protokoll verwendet, das die anfängliche Verbindungsunterstützung unterstützt.

Client/server realm mismatch in initial ticket request

Grund: In der ersten Ticketanforderung besteht hinsichtlich des Bereichs zwischen Client und Server keine Übereinstimmung.

Lösung: Stellen Sie sicher, dass sich der Server, mit dem Sie kommunizieren, im selbem Bereich wie der Client befindet oder die Bereiche richtig konfiguriert sind.

Client or server has a null key

Grund: Das Hauptelement hat einen leeren Schlüssel.

Lösung: Ändern Sie mit dem Befehl cpw von kadmin das Hauptelement dahingehend, dass dessen Schlüssel ungleich null ist.

Communication failure with server while initializing kadmin interface

Grund: Auf dem für den Admin-Server angegebenen Host, auch Master-KDC genannt, wurde der Dämon kadmind nicht ausgeführt.

Lösung: Vergewissern Sie sich, dass Sie den richtigen Hostnamen für das Master-KDC angegeben haben. Wenn dies der Fall ist, stellen Sie sicher, dass kadmind auf dem von Ihnen angegebenen Master-KDC ausgeführt wird.

Credentials cache file permissions incorrect

Grund: Sie verfügen nicht über die richtigen Lese- oder Schreibberechtigungen für den Berechtigungsnachweis-Cache (/tmp/krb5cc_ uid).

Lösung: Stellen Sie sicher, dass Sie über Lese- und Schreibberechtigungen für den Berechtigungsnachweis-Cache verfügen.

Credentials cache I/O operation failed XXX

Grund: Beim Schreiben in den Berechtigungsnachweis-Cache (/tmp/krb5cc_uid) durch Kerberos ist ein Problem aufgetreten.

Lösung: Vergewissern Sie sich mit dem Befehl df, dass der Berechtigungsnachweis-Cache nicht entfernt wurde und dass freier Speicherplatz auf dem Gerät vorhanden ist.

Decrypt integrity check failed

Grund: Sie verfügen möglicherweise über ein ungültiges Ticket.

Lösung: Überprüfen Sie, ob folgende zwei Bedingungen zutreffen:

• Stellen Sie sicher, dass Ihre Berechtigungsnachweise gültig sind. Löschen Sie Ihre Tickets mit kdestroy und erstellen Sie neue Tickets mit kinit.

• Vergewissern Sie sich, dass der Zielhost eine Schlüsseltabellendatei mit der richtigen Version des Serviceschlüssels aufweist. Verwenden Sie kadmin, um die Schlüsselversionsnummer des Service-Hauptelements (z. B. host/FQDN-hostname) in der Kerberos-Datenbank anzuzeigen. Stellen Sie außerdem mithilfe von klist -k auf dem Zielhost sicher, dass jener dieselbe Schlüsselversionsnummer hat.

Encryption could not be enabled. Goodbye.

Grund: Die Verschlüsselung konnte nicht mit dem Server ausgehandelt werden.

Lösung: Starten Sie die Fehlersuche für die Authentifizierung, indem Sie den Befehl telnet mit dem Befehl toggle encdebug ausführen, und lesen Sie die Fehlersuchmeldungen für weitere Hinweise.

failed to obtain credentials cache

Grund: Während der kadmin-Initialisierung ist ein Fehler aufgetreten, als kadmin versuchte, Berechtigungsnachweise für das Hauptelement admin abzurufen.

Lösung: Vergewissern Sie sich, dass Sie beim Ausführen von kadmin das richtige Hauptelement und Passwort verwendet haben.

Field is too long for this implementation

Grund: Die von einer kerberisierten Anwendung gesendete Meldung war zu lang. Dieser Fehler kann in Verbindung mit dem Transportprotokoll UDP auftreten, dessen standardmäßige Maximalgröße für Meldungen 65535 Byte beträgt. Außerdem bestehen in einer Protokollmeldung, die vom Kerberos-Service gesendet wurde, Begrenzungen für einzelne Felder.

Lösung: Überprüfen Sie, ob Sie die UDP-Übertragung in der Datei /etc/krb5/kdc.conf des KDC-Servers eingeschränkt haben.

GSS-API (or Kerberos) error

Grund: Diese Meldung ist eine generische GSS-API- oder Kerberos-Fehlermeldung und kann durch mehrere verschiedene Probleme ausgelöst werden.

Lösung: Suchen Sie in der Datei /var/krb5/kdc.log die genaue Fehlermeldung, die protokolliert wurde, als der Fehler auftrat.

Hostname cannot be canonicalized

Grund: Der Kerberos-Client kann den vollständig qualifizierten Hostnamen für den Server nicht finden.

Lösung: Vergewissern Sie sich, dass der Hostname des Servers in DNS definiert ist und die Zuordnungen zwischen Hostname und Adresse bzw. Adresse und Hostname übereinstimmen.

Illegal cross-realm ticket

Grund: Das gesendete Ticket verfügte nicht über die richtigen übergreifenden Bereiche. Möglicherweise wurden für die Bereiche nicht die richtigen vertrauensvollen Beziehungen eingerichtet.

Lösung: Stellen Sie sicher, dass die verwendeten Bereiche die richtigen vertrauensvollen Beziehungen aufweisen.

Improper format of Kerberos configuration file

Grund: Die Kerberos-Konfigurationsdatei enthält ungültige Einträge.

Lösung: Vergewissern Sie sich, dass auf alle Beziehungen in der Datei krb5.conf ein Gleichheitszeichen (=) und ein Wert folgen. Überprüfen Sie außerdem, ob in den Paaren für jeden Unterabschnitt die Klammern vorhanden sind.

Inappropriate type of checksum in message

Grund: Die Meldung enthielt einen ungültigen Prüfsummentyp.

Lösung: Überprüfen Sie, welche gültigen Prüfsummentypen in den Dateien krb5.conf und kdc.conf angegeben werden.

Incorrect net address

Grund: Es bestand eine Abweichung bezüglich der Netzwerkadresse. Die Netzwerkadresse im weitergeleiteten Ticket wich von der Netzwerkadresse bei der Verarbeitung des Tickets ab. Diese Meldung kann beim Weiterleiten von Tickets angezeigt werden.

Lösung: Stellen Sie sicher, dass die Netzwerkadressen korrekt sind. Löschen Sie Ihre Tickets mit kdestroy und erstellen Sie neue Tickets mit kinit.

Invalid credential was supplied

Service key not available

Grund: Das Service-Ticket im Berechtigungsnachweis-Cache ist möglicherweise nicht korrekt.

Lösung: Leeren Sie den aktuellen Berechtigungsnachweis-Cache und führen Sie kinit erneut aus, bevor Sie versuchen, diesen Service zu verwenden.

Invalid flag for file lock mode

Grund: Es ist ein interner Kerberos-Fehler aufgetreten.

Lösung: Bitte melden Sie einen Fehler.

Invalid message type specified for encoding

Grund: Kerberos konnte den von der kerberisierten Anwendung gesendeten Meldungstyp nicht erkennen.

Lösung: Wenn Sie eine kerberisierte Anwendung verwenden, die an Ihrem Standort oder von einem Hersteller entwickelt wurde, vergewissern Sie sich, dass die Anwendung Kerberos korrekt verwendet.

Invalid number of character classes

Grund: Das von Ihnen für das Hauptelement angegebene Passwort enthält nicht genügend Passwortklassen, wie von der Richtlinie des Hauptelements vorgeschrieben.

Lösung: Geben Sie ein Passwort mit der von der Richtlinie vorgeschriebenen Mindestanzahl an Passwortklassen an.

KADM err: Memory allocation failure

Grund: Es ist nicht genügend Speicher zum Ausführen von kadmin vorhanden.

Lösung: Geben Sie Speicher frei und versuchen Sie, kadmin erneut auszuführen.

kadmin: Bad encryption type while changing host/<FQDN>'s key

Grund: Weitere standardmäßige Verschlüsselungstypen sind in der Basisversion von Solaris 10 8/07 enthalten. Clients können Verschlüsselungstypen anfordern, die eventuell nicht von einem KDC unterstützt werden, auf dem eine ältere Version der Software ausgeführt wird.

Lösung: Es gibt mehrere Lösungen zur Behebung dieses Problems. Die am leichtesten zu implementierende wird als erstes aufgeführt:

1. Fügen Sie die Pakete SUNWcry und SUNWcryr dem KDC-Server hinzu. Dadurch erhöht sich die Anzahl der vom KDC unterstützten Verschlüsselungstypen.

2. Legen Sie permitted_enctypes in krb5.conf auf dem Client so fest, dass der Verschlüsselungstyp aes256 nicht enthalten ist. Dieser Schritt muss auf jedem neuen Client ausgeführt werden.

KDC can't fulfill requested option

Grund: Das KDC ließ die angeforderte Option nicht zu. Das Problem besteht eventuell darin, dass Optionen zur Nachdatierung oder weiterleitbare Optionen angefordert wurden und das KDC diese nicht zuließ. Ein weiteres Problem ist möglicherweise, dass Sie die Erneuerung eines TGT angefordert haben, jedoch über kein erneuerbares TGT verfügten.

Lösung: Bestimmen Sie, ob Sie entweder eine vom KDC nicht zugelassene Option oder einen nicht verfügbaren Tickettyp anfordern.

KDC policy rejects request

Grund: Die KDC-Richtlinie ließ die Anforderung nicht zu. Dies kann beispielsweise daran liegen, dass die Anforderung an den KDC keine IP-Adresse aufwies. Möglicherweise wurde auch eine Weiterleitung angefordert, die das KDC jedoch nicht zuließ.

Lösung: Stellen Sie sicher, dass Sie den Befehl kinit mit den richtigen Optionen verwenden. Ändern Sie bei Bedarf die mit dem Hauptelement verknüpfte Richtlinie oder die Attribute des Hauptelements, um die Anforderung zuzulassen. Sie können die Richtlinie oder das Hauptelement mit dem Befehl kadmin ändern.

KDC reply did not match expectation

Grund: Die KDC-Antwort enthielt nicht den erwarteten Hauptelementnamen, oder andere Werte in der Antwort waren nicht korrekt.

Lösung: Stellen Sie sicher, dass das KDC, mit dem Sie kommunizieren, mit RFC4120 übereinstimmt, die von Ihnen gesendete Anforderung eine Kerberos V5-Anforderung ist oder das KDC verfügbar ist.

kdestroy: Could not obtain principal name from cache

Grund: Der Berechtigungsnachweis-Cache fehlt oder ist beschädigt.

Lösung: Überprüfen Sie, ob der angegebene Cache-Speicherort korrekt ist. Entfernen und fordern Sie bei Bedarf ein neues TGT mit kinit an.

kdestroy: No credentials cache file found while destroying cache

Grund: Der Berechtigungsnachweis-Cache (/tmp/krb5c_ uid) fehlt oder ist beschädigt.

Lösung: Überprüfen Sie, ob der angegebene Cache-Speicherort korrekt ist. Entfernen und fordern Sie bei Bedarf ein neues TGT mit kinit an.

kdestroy: TGT expire warning NOT deleted

Grund: Der Berechtigungsnachweis-Cache fehlt oder ist beschädigt.

Lösung: Überprüfen Sie, ob der angegebene Cache-Speicherort korrekt ist. Entfernen und fordern Sie bei Bedarf ein neues TGT mit kinit an.

Kerberos authentication failed

Grund: Das Kerberos-Passwort ist entweder falsch oder nicht mit dem UNIX-Passwort synchronisiert.

Lösung: Wenn das Passwort nicht synchronisiert ist, müssen Sie ein anderes Passwort angeben, um die Kerberos-Authentifizierung abzuschließen. Es ist möglich, dass der Benutzer das ursprüngliche Passwort vergessen hat.

Kerberos V5 refuses authentication

Grund: Die Authentifizierung konnte nicht mit dem Server ausgehandelt werden.

Lösung: Starten Sie die Fehlersuche für die Authentifizierung, indem Sie den Befehl telnet mit dem Befehl toggle authdebug ausführen, und lesen Sie die Fehlersuchmeldungen für weitere Hinweise. Vergewissern Sie sich außerdem, dass Sie über gültige Berechtigungsnachweise verfügen.

Key table entry not found

Grund: Für das Service-Hauptelement ist kein Eintrag in der Schlüsseltabellendatei des Netzwerkanwendungsservers vorhanden.

Lösung: Fügen Sie der Schlüsseltabellendatei des Servers das entsprechende Service-Hauptelement hinzu, damit der kerberisierte Service bereitgestellt werden kann.

Key version number for principal in key table is incorrect

Grund: Die Schlüsselversion eines Hauptelements in der Schlüsseltabellendatei weicht von der Version in der Kerberos-Datenbank ab. Entweder wurde der Schlüssel eines Service geändert oder Sie verwenden ein altes Service-Ticket.

Lösung: Wurde der Schlüssel eines Service geändert (z. B. mit kadmin), müssen Sie den neuen Schlüssel extrahieren und in der Schlüsseltabellendatei des Hosts speichern, auf dem der Service ausgeführt wird.

Es kann auch sein, dass Sie ein altes Service-Ticket mit einem älteren Schlüssel verwenden. Sie sollten die Befehle kdestroy und kinit in genannter Reihenfolge erneut ausführen.

kinit: gethostname failed

Grund: Aufgrund eines Fehlers in der lokalen Netzwerkkonfiguration schlägt kinit fehl.

Lösung: Vergewissern Sie sich, dass der Host ordnungsgemäß konfiguriert ist.

login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1

Grund: Das Kerberos-PAM-Modul fehlt entweder oder ist keine gültige ausführbare Binärdatei.

Lösung: Stellen Sie sicher, dass sich das Kerberos-PAM-Module im Verzeichnis /usr/lib/security befindet und eine gültige ausführbare Binärdatei ist. Vergewissern Sie sich ebenfalls, dass die Datei /etc/pam.conf den richtigen Pfad zu pam_krb5.so.1 enthält.

Looping detected inside krb5_get_in_tkt

Grund: Kerberos versuchte mehrmals, die anfänglichen Tickets abzurufen, aber alle Versuche schlugen fehl.

Lösung: Stellen Sie sicher, dass mindestens ein KDC auf Authentifizierungsanforderungen antwortet.

Master key does not match database

Grund: Das geladene Datenbankabbild wurde nicht aus einer Datenbank erstellt, die den Master-Schlüssel enthält. Der Master-Schlüssel befindet sich in /var/krb5/.k5.REALM.

Lösung: Vergewissern Sie sich, dass der Master-Schlüssel im geladenen Datenbankabbild dem Master-Schlüssel in /var/krb5/.k5.REALM entspricht.

Matching credential not found

Grund: Der entsprechende Berechtigungsnachweis für Ihre Anforderung wurde nicht gefunden. Ihre Anforderung erfordert Berechtigungsnachweise, die im Berechtigungsnachweis-Cache nicht zur Verfügung stehen.

Lösung: Löschen Sie Ihre Tickets mit kdestroy und erstellen Sie neue Tickets mit kinit.

Message out of order

Grund: Meldungen, die unter Verwendung der Vertraulichkeit in fortlaufender Reihenfolge gesendet wurden, wurden in einer anderen Reihenfolge empfangen. Einige Meldungen gingen bei der Übertragung möglicherweise verloren.

Lösung: Sie sollten die Kerberos-Sitzung reinitialisieren.

Message stream modified

Grund: Die berechnete Prüfsumme stimmte nicht mit der Prüfsumme der Meldung überein. Die Meldung wurde möglicherweise während der Übertragung geändert, was auf eine Sicherheitslücke hinweisen kann.

Lösung: Stellen Sie sicher, dass die Meldungen korrekt über das Netzwerk übertragen werden. Da diese Meldung auch auf eine mögliche Manipulation von Meldungen während der Übertragung hinweisen kann, löschen Sie Ihre Tickets mit kdestroy und reinitialisieren Sie die verwendeten Kerberos-Services.

Häufige Kerberos-Fehlermeldungen (N – Z)

Dieser Abschnitt umfasst eine alphabetische Liste (N – Z) häufiger Fehlermeldungen für die Kerberos-Befehle und -Dämonen, das PAM-Framework, die GSS-Schnittstelle, den NFS-Service sowie die Kerberos-Bibliothek.

No credentials cache file found

Grund: Kerberos konnte den Berechtigungsnachweis-Cache (/tmp/krb5cc_uid) nicht finden.

Lösung: Vergewissern Sie sich, dass die Berechtigungsnachweisdatei vorhanden ist und gelesen werden kann. Ist dies nicht der Fall, versuchen Sie, kinit erneut auszuführen.

No credentials were supplied, or the credentials were unavailable or inaccessible

No credential cache found

Grund: Der Berechtigungsnachweis-Cache des Benutzers ist falsch oder nicht vorhanden.

Lösung: Der Benutzer sollte kinit ausführen, bevor er versucht, den Service zu starten.

No credentials were supplied, or the credentials were unavailable or inaccessible

No principal in keytab matches desired name

Grund: Beim Versuch, den Server zu authentifizieren, ist ein Fehler aufgetreten.

Lösung: Stellen Sie sicher, dass sich der Host oder das Service-Hauptelement in der Schlüsseltabellendatei des Servers befindet.

Operation requires “privilege ” privilege

Grund: Das verwendete Hauptelement admin verfügt nicht über die entsprechende in der Datei kadm5.acl konfigurierte Berechtigung.

Lösung: Verwenden Sie ein Hauptelement, das über die entsprechenden Berechtigungen verfügt. Alternativ können Sie auch das verwendete Hauptelement konfigurieren, um über die entsprechenden Berechtigungen zu verfügen, indem Sie die Datei kadm5.acl ändern. Üblicherweise weist ein Hauptelement, dessen Name /admin enthält, die jeweiligen Berechtigungen auf.

PAM-KRB5 (auth): krb5_verify_init_creds failed: Key table entry not found

Grund: Die Remote-Anwendung versuchte, das Service-Hauptelement des Hosts in der lokalen /etc/krb5/krb5.keytab-Datei zu lesen, dieses ist jedoch nicht vorhanden.

Lösung: Fügen Sie der Schlüsseltabellendatei des Hosts dessen Service-Hauptelement hinzu.

Password is in the password dictionary

Grund: Das von Ihnen angegebene Passwort befindet sich in einem Passwort-Wörterbuch, das gerade verwendet wird. Ihr angegebenes Passwort ist nicht gut als Passwort geeignet.

Lösung: Wählen Sie ein Passwort mit einer Mischung aus mehreren Passwortklassen.

Permission denied in replay cache code

Grund: Der Wiedergabe-Cache des Systems konnte nicht geöffnet werden. Ihr Server wurde möglicherweise zunächst unter einer Benutzer-ID ausgeführt, die sich von Ihrer aktuellen Benutzer-ID unterscheidet.

Lösung: Vergewissern Sie sich, dass der Wiedergabe-Cache die entsprechenden Berechtigungen aufweist. Der Wiedergabe-Cache ist auf dem Host gespeichert, auf dem die kerberisierte Serveranwendung ausgeführt wird. Für Nicht-root-Benutzer heißt die Wiedergabe-Cachedatei /var/krb5/rcache/rc_service_name_ uid. Für Root-Benutzer heißt die Wiedergabe-Cachedatei /var/krb5/rcache/root/rc_ service_name.

Protocol version mismatch

Grund: Wahrscheinlich wurde eine Kerberos V4-Anforderung an das KDC gesendet. Der Kerberos-Service unterstützt nur das Kerberos V5-Protokoll.

Lösung: Stellen Sie sicher, dass Ihre Anwendungen das Kerberos V5-Protokoll verwenden.

Request is a replay

Grund: Die Anforderung wurde bereits an diesen Server gesendet und verarbeitet. Die Tickets wurden möglicherweise gestohlen und eine andere Person versucht, sie wiederzuverwenden.

Lösung: Warten Sie einige Minuten und übermitteln Sie dann die Anforderung erneut.

Requested principal and ticket don't match

Grund: Das Service-Hauptelement, zu dem Sie eine Verbindung herstellen, und Ihr Service-Ticket stimmen nicht überein.

Lösung: Vergewissern Sie sich, dass DNS ordnungsgemäß funktioniert. Wenn Sie die Software eines anderen Herstellers verwenden, stellen Sie sicher, dass Hauptelementnamen in der Software korrekt verwendet werden.

Requested protocol version not supported

Grund: Wahrscheinlich wurde eine Kerberos V4-Anforderung an das KDC gesendet. Der Kerberos-Service unterstützt nur das Kerberos V5-Protokoll.

Lösung: Stellen Sie sicher, dass Ihre Anwendungen das Kerberos V5-Protokoll verwenden.

Server refused to negotiate authentication, which is required for encryption. Good bye.

Grund: Die Remote-Anwendung ist entweder nicht fähig, die Kerberos-Authentifizierung vom Client zu akzeptieren oder wurde dementsprechend konfiguriert.

Lösung: Geben Sie eine Remote-Anwendung an, die eine Authentifizierung aushandeln kann, oder konfigurieren Sie die Anwendung so, dass sie die entsprechenden Flags zur Aktivierung der Authentifizierung verwendet.

Server refused to negotiate encryption. Good bye.

Grund: Die Verschlüsselung konnte nicht mit dem Server ausgehandelt werden.

Lösung: Starten Sie die Fehlersuche für die Authentifizierung, indem Sie den Befehl telnet mit dem Befehl toggle encdebug ausführen, und lesen Sie die Fehlersuchmeldungen für weitere Hinweise.

Server rejected authentication (during sendauth exchange)

Grund: Der Server, mit dem Sie zu kommunizieren versuchen, hat die Authentifizierung zurückgewiesen. Dieser Fehler tritt meistens während der Weitergabe der Kerberos-Datenbank auf. Die Ursache liegt häufig in Problemen mit der Datei kpropd.acl, DNS oder der Schlüsseltabellendatei.

Lösung: Falls Ihnen dieser Fehler angezeigt wird, wenn Sie andere Anwendungen als kprop ausführen, überprüfen Sie, ob die Schlüsseltabellendatei des Servers korrekt ist.

The ticket isn't for us

Ticket/authenticator don't match

Grund: Das Ticket und der Authentifizierer stimmten nicht miteinander überein. Der Hauptelementname in der Anforderung entsprach möglicherweise nicht dem Namen des Service-Hauptelements. Dies liegt entweder daran, dass das Ticket mit einem FQDN-Namen des Hauptelements gesendet wurde, während der Service einen anderen Namen erwartete, oder ein Nicht-FDQN-Name gesendet wurde und der Service einen FQDN-Namen erwartete.

Lösung: Falls Ihnen dieser Fehler angezeigt wird, wenn Sie andere Anwendungen als kprop ausführen, überprüfen Sie, ob die Schlüsseltabellendatei des Servers korrekt ist.

Ticket expired

Grund: Die Dauer Ihrer Tickets ist abgelaufen.

Lösung: Löschen Sie Ihre Tickets mit kdestroy und erstellen Sie neue Tickets mit kinit.

Ticket is ineligible for postdating

Grund: Das Hauptelement lässt nicht die Nachdatierung aller dazugehörigen Tickets zu.

Lösung: Ändern Sie das Hauptelement mit kadmin dahingehend, dass es die Nachdatierung zulässt.

Ticket not yet valid

Grund: Das nachdatierte Ticket ist noch nicht gültig.

Lösung: Erstellen Sie ein neues Ticket mit dem richtigen Datum oder warten Sie, bis das aktuelle Ticket gültig ist.

Truncated input file detected

Grund: Bei der während des Vorgangs verwendeten Abbilddatei der Datenbank handelt es sich um keine vollständige Abbilddatei.

Lösung: Erstellen Sie die Abbilddatei erneut oder verwenden Sie eine andere Abbilddatei der Datenbank.

Unable to securely authenticate user ... exit

Grund: Die Authentifizierung konnte nicht mit dem Server ausgehandelt werden.

Lösung: Starten Sie die Fehlersuche für die Authentifizierung, indem Sie den Befehl telnet mit dem Befehl toggle authdebug ausführen, und lesen Sie die Fehlersuchmeldungen für weitere Hinweise. Vergewissern Sie sich außerdem, dass Sie über gültige Berechtigungsnachweise verfügen.

Wrong principal in request

Grund: Das Ticket enthielt einen ungültigen Hauptelementnamen. Dieser Fehler weist eventuell auf ein DNS- oder FQDN-Problem hin.

Lösung: Vergewissern Sie sich, dass das Hauptelement des Service mit dem Hauptelement im Ticket übereinstimmt.