Cette section fournit une liste alphabétique (A-M) des messages d'erreur courants pour les commandes Kerberos, les démons Kerberos, la structure PAM, l'interface GSS, le service NFS et la bibliothèque Kerberos.
Bad lifetime value
Cause: La valeur de durée de vie fournie n'est pas valide ou incorrectement formatée.
Solution: Assurez-vous que la valeur fournie est cohérente avec la section des formats d'heure de la page de manuel kinit(1).
Bad start time value
Cause: La valeur d'heure de démarrage fournie n'est pas valide ou incorrectement formatée.
Solution: Assurez-vous que la valeur fournie est cohérente avec la section des formats d'heure de la page de manuel kinit(1).
Cannot contact any KDC for requested realm
Cause: Aucun KDC n'a répondu dans le domaine demandé.
Solution: Assurez-vous qu'au moins un KDC (maître ou esclave) est accessible ou que le démon krb5kdc est en cours d'exécution sur les KDC. Consultez le fichier /etc/krb5/krb5.conf pour la liste de KDC configurés (kdc = kdc-name).
Cannot determine realm for host: host is 'hostname'
Cause: Kerberos n'est pas en mesure de déterminer le nom de domaine de l'hôte.
Solution: Assurez-vous qu'il y a un nom de domaine par défaut ou que les mappages de nom de domaine sont définis dans le fichier de configuration Kerberos (krb5.conf).
Cannot find a kadmin KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find a kpassword KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find a master KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find any KDC entries in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cause: Le fichier krb5.conf ou l'enregistrement du serveur DNS n'est pas correctement configuré.
Solution: Assurez-vous que le fichier de configuration Kerberos (/etc/krb5/krb5.conf) ou les enregistrements du serveur DNS pour le KDC sont correctement configurés.
Cannot find address for 'hostname': 'error-string '
Cause: Aucune adresse n'a été trouvée dans les enregistrements du DNS pour le nom d'hôte donné.
Solution: Corrigez l'enregistrement d'hôte dans le DNS ou corrigez l'erreur dans la recherche DNS.
cannot initialize realm realm-name
Cause: Le KDC n'a peut-être pas de fichier stash.
Solution: Assurez-vous que le KDC dispose d'un fichier stash. Si tel n'est pas le cas, créez un fichier stash en utilisant la commande kdb5_util et essayez de redémarrer la commande krb5kdc.
Cannot resolve KDC for requested realm
Cause: Kerberos n'est pas en mesure de déterminer un KDC pour le domaine.
Solution: Assurez-vous que le fichier de configuration Kerberos (krb5.conf) indique un KDC dans la section realm.
Cannot resolve network address for KDCs 'hostname' discovered via DNS Service Location records for realm 'realm-name'
Cannot resolve network address for KDCs 'hostname' specified in krb5.conf(4) for realm 'realm-name'
Cause: Le fichier krb5.conf ou l'enregistrement du serveur DNS n'est pas configuré correctement.
Solution: Assurez-vous que le fichier de configuration Kerberos (/etc/krb5/krb5.conf) et les enregistrements du serveur DNS pour le KDC sont correctement configurés.
Can't open/find Kerberos configuration file
Cause: Le fichier de configuration Kerberos (krb5.conf) n'était pas disponible.
Solution: Assurez-vous que le krb5.conf est disponible au bon emplacement et qu'il dispose des autorisations nécessaires. Ce fichier doit être accessible en écriture par root et lisible par tout le monde.
Client 'principal' pre-authentication failed
Cause: L'authentification du principal a échoué.
Solution: Assurez-vous que l'utilisateur utilise le mot de passe correct.
Client or server has a null key
Cause: Le principal a une clé nulle.
Solution: Modifiez le principal afin qu'il dispose d'une clé non nulle en utilisant la commande cpw de kadmin.
Communication failure with server while initializing kadmin interface
Cause: Le démon kadmind n'était pas en cours d'exécution sur l'hôte qui était spécifié pour le KDC maître.
Solution: Assurez-vous d'avoir spécifié le nom d'hôte correct pour le KDC maître. Si vous avez spécifié le nom d'hôte correct, assurez-vous que kadmind est en cours d'exécution sur le KDC maître que vous avez spécifié.
Credentials cache file permissions incorrect
Cause: Vous ne disposez pas des autorisations de lecture ou d'écriture sur le cache d'informations d'identification (/tmp/krb5cc_uid).
Solution: Assurez-vous que vous disposez des autorisations de lecture ou d'écriture sur le cache d'informations d'identification.
Credentials cache I/O operation failed XXX
Cause: Kerberos a rencontré un problème lors de l'écriture dans le cache d'informations d'identification du système (/tmp/krb5cc_uid).
Solution: Assurez-vous que le cache d'informations d'identification n'a pas été supprimé et qu'il reste de l'espace sur le périphérique en utilisant la commande df.
Decrypt integrity check failed
Cause: Vous avez peut-être un ticket non valide.
Solution: Vérifiez les deux conditions suivantes :
Assurez-vous que vos informations d'identification sont valides. Détruisez vos tickets avec kdestroy et créez de nouveaux tickets avec kinit.
Assurez-vous que l'hôte cible dispose d'un fichier keytab avec la version correcte de la clé du service. Utilisez kadmin pour afficher le numéro de version de la clé du principal service (par exemple, host/FQDN-hostname) dans la base de données Kerberos. Utilisez également la commande klist -k sur l'hôte cible pour vérifier que le numéro de version de la clé est identique.
Decrypt integrity check failed for client 'principal' and server 'hostname'
Cause: Vous avez peut-être un ticket non valide.
Solution: Assurez-vous que vos informations d'identification sont valides. Détruisez vos tickets avec la commande kdestroy, puis créez de nouveaux tickets avec la commande kinit.
failed to obtain credentials cache
Cause: Pendant l'initialisation de kadmin, une panne s'est produite lorsque kadmin a essayé afin d'obtenir des informations d'identification pour le principal admin.
Solution: Assurez-vous d'avoir utilisé le bon principal et le bon mot de passe lorsque vous avez exécuté la commande kadmin.
Field is too long for this implementation
Cause: Le message qui a été envoyé par une application utilisant Kerberos était trop long. Cette erreur peut être générée si le protocole de transport est UDP, dont la taille maximale de message par défaut est 65535 octets. En outre, il existe des limites sur les champs individuels dans un message de protocole qui est envoyé par le service Kerberos.
Solution: Vérifiez que vous n'avez pas restreint le transport à UDP dans le fichier /etc/krb5/kdc.conf du serveur KDC.
GSS-API (or Kerberos) error
Cause: Ce message est un message d'erreur GSS-API ou Kerberos générique pouvant être causé par divers problèmes.
Solution: Vérifiez le fichier /var/krb5/kdc.log pour trouver le message d'erreur plus spécifique qui a été enregistré lorsque l'erreur s'est produite.
Improper format of Kerberos configuration file
Cause: Le fichier de configuration Kerberos a des entrées non valides.
Solution: Assurez-vous que toutes les relations dans le fichier krb5.conf sont suivies du signe "=" et d'une valeur. En outre, vérifiez que les crochets sont présents dans les paires pour chaque sous-section.
Invalid credential was supplied
Service key not available
Cause: Le ticket de service du cache d'informations d'identification est peut-être incorrect.
Solution: Détruisez le cache d'informations d'identification actuel et exécutez de nouveau la commande kinit avant d'essayer d'utiliser ce service.
Invalid flag for file lock mode
Cause: Une erreur Kerberos interne s'est produite.
Solution: Veuillez signaler un bogue.
Invalid message type specified for encoding
Cause: Kerberos n'a pas reconnu le type de message qui a été envoyé par l'application utilisant Kerberos.
Solution: Si vous utilisez une application utilisant Kerberos qui a été développé par votre site ou un fournisseur, assurez-vous qu'elle utilise Kerberos correctement.
kadmin: Bad encryption type while changing host/FQDN's key
Cause: Plusieurs types de chiffrement par défaut sont inclus dans la version de base dans les dernières versions. Les clients peuvent demander des types de chiffrement qui ne sont peut-être pas pris en charge par un KDC exécuté sur une version antérieure du logiciel.
Solution: Définissez permitted_enctypes dans krb5.conf sur le client pour que le type de chiffrement aes256 ne soit pas inclus. Cette étape doit être effectuée sur chaque nouveau client.
KDC can't fulfill requested option
Cause: Le KDC n'a pas autorisé l'option demandée. Il est possible que des options postdatables ou transmissibles soient demandées et que le KDC refuse. Un autre problème peut être une demande de renouvellement d'un TGT, sans avoir de TGT renouvelable.
Solution: Déterminez si vous demandez une option que le KDC n'autorise pas ou un type de ticket qui n'est pas disponible.
KDC reply did not match expectation: KDC not found. Probably got an unexpected realm referral
Cause: La réponse du KDC ne contient pas le nom de principal attendu ou d'autres valeurs dans la réponse n'étaient pas correctes.
Solution: Assurez-vous que le KDC avec lequel vous communiquez est conforme à RFC4120, que la demande envoyée est une demande Kerberos V5 ou que le KDC est disponible.
kdestroy: Could not obtain principal name from cache
Cause: Le cache d'informations d'identification est manquant ou endommagé.
Solution: Vérifiez que l'emplacement du cache fourni est correct. Supprimez et obtenez un nouveau TGT via kinit, si nécessaire.
kdestroy: No credentials cache file found while destroying cache
Cause: Le cache d'informations d'identification (/tmp/krb5c_uid) est manquant ou endommagé.
Solution: Vérifiez que l'emplacement du cache fourni est correct. Supprimez et obtenez un nouveau TGT via kinit, si nécessaire.
kdestroy: TGT expire warning NOT deleted
Cause: Le cache d'informations d'identification est manquant ou endommagé.
Solution: Vérifiez que l'emplacement du cache fourni est correct. Supprimez et obtenez un nouveau TGT via kinit, si nécessaire.
Kerberos authentication failed
Cause: Le mot de passe Kerberos est incorrect ou ne peut pas être synchronisé avec le mot de passe UNIX.
Solution: Si les mots de passe ne sont pas synchronisés, vous devez spécifier le mot de passe Kerberos pour terminer l'authentification. Il est possible que l'utilisateur ait oublié son mot de passe d'origine.
Key version number is not available for principal principal
Cause: La version des clés ne correspond pas à la version des clés sur le serveur d'application.
Solution: Vérifiez la version des clés sur le serveur d'application à l'aide de la commande klist -k.
Key version number for principal in key table is incorrect
Cause: La version de clé d'un principal dans le fichier keytab est différente de la version dans la base de données Kerberos. Soit la clé d'un service a été modifiée, soit vous utilisez un ancien ticket de service.
Solution: Si la clé d'un service a été modifiée (par exemple, en utilisant kadmin), vous devez extraire la nouvelle clé et la stocker dans le fichier keytab de l'hôte où le service est en cours d'exécution.Sinon, vous devrez peut-être utiliser un ancien ticket de service disposant d'une ancienne clé. Vous aurez peut-être besoin d'exécuter la commande kdestroy, puis la commande kinit à nouveau.
kinit: gethostname failed
Cause: Une erreur dans la configuration réseau local provoque l'échec de kinit.
Solution: Assurez-vous que l'hôte est correctement configuré.
login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1
Cause: Le module PAM de Kerberos est manquant ou il ne s'agit pas d'un binaire exécutable valide.
Solution: Assurez-vous que le module PAM de Kerberos est dans les /usr/lib/security Directory et qu'il s'agit d'un fichier exécutable valide binaire. De même, assurez-vous que votre fichier de configuration PAM pour login contient le chemin d'accès correct à pam_krb5.so.1.
Looping detected getting initial creds: 'client-principal' requesting ticket 'service-principal'. Max loops is value. Make sure a KDC is available.
Cause: Kerberos a tenté à plusieurs reprises d'obtenir les tickets initiaux mais n'a pas réussi.
Solution: Assurez-vous qu'au moins un KDC répond aux demandes d'authentification.
Master key does not match database
Cause: Le vidage de base de données chargé n'a pas été créé à partir d'une base de données qui contient la clé principale. La clé principale est située dans /var/krb5/.k5.REALM.
Solution: Assurez-vous que la clé principale dans le vidage de base de données chargé correspond à la clé principale qui se trouve dans /var/krb5/.k5.REALM.
Matching credential not found
Cause: Les informations d'identification correspondant à votre demande n'ont pas été trouvées. Votre demande exige l'utilisation d'informations d'authentification qui ne sont pas disponibles dans le cache d'informations d'identification.
Solution: Détruisez vos tickets avec kdestroy et créez de nouveaux tickets avec kinit.
Message out of order
Cause: Les messages qui ont été envoyés lors de l'utilisation d'une confidentialité à ordre séquentielle ont été livrés sans tenir compte de l'ordre. Certains messages ont peut-être été perdus dans le processus.
Solution: Vous devez réinitialiser la session Kerberos.
Message stream modified
Cause: La somme de contrôle calculée et la somme de contrôle du message ne correspondent pas. Le message a peut-être été modifié au cours de la transmission, ce qui peut indiquer un problème de sécurité.
Solution: Assurez-vous que les messages sont envoyés sur le réseau correctement. Etant donné que ce message peut également indiquer la possible altération des messages pendant leur envoi, détruisez vos tickets et réinitialisez les services Kerberos que vous êtes en train d'utiliser.