En esta sección se proporciona una lista en orden alfabético (A-M) de mensajes de error comunes de los comandos Kerberos, los daemons Kerberos, la estructura PAM, la interfaz GSS, el servicio NFS y la biblioteca Kerberos.
Bad lifetime value
Cause: el valor de vigencia especificado no es válido o su formato es incorrecto.
Solución: Asegúrese de que el valor proporcionado coincida con lo establecido en la sección de formatos de hora de la página del comando man kinit(1).
Bad start time value
Cause: el valor de hora de inicio especificado no es válido o su formato es incorrecto.
Solución: Asegúrese de que el valor proporcionado coincida con lo establecido en la sección de formatos de hora de la página del comando man kinit(1).
Cannot contact any KDC for requested realm
Cause: ningún KDC respondió en el dominio solicitado.
Solución: asegúrese de que al menos se pueda acceder a un KDC (maestro o esclavo) o que el daemon krb5kdc se ejecute en los KDC. Busque en el archivo /etc/krb5/krb5.conf la lista de KDC configurados (kdc = kdc-name).
Cannot determine realm for host: host is 'hostname'
Cause: Kerberos no puede determinar el nombre de dominio para el host.
Solución: asegúrese de que haya un nombre de dominio predeterminado o que las asignaciones de nombre de dominio estén configuradas en el archivo de configuración de Kerberos (krb5.conf).
Cannot find a kadmin KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find a kpassword KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find a master KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find any KDC entries in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cause: el archivo krb5.conf o el registro de servidor DNS se configuraron de manera incorrecta.
Solución: asegúrese de que el archivo de configuración de Kerberos (/etc/krb5/krb5.conf) o que los registros de servidor DNS para el KDC estén configurados correctamente.
Cannot find address for 'hostname': 'error-string'
Cause: no se encontró ninguna dirección en los registros DNS para el nombre de host proporcionado.
Solución: corrija el registro de host en DNS o corrija el error en el proceso de búsqueda de DNS.
cannot initialize realm realm-name
Cause: el KDC podría no tener un archivo intermedio.
Solución: asegúrese de que el KDC tenga un archivo intermedio. En caso contrario, cree un archivo intermedio mediante el comando kdb5_util e intente reiniciar el comando krb5kdc.
Cannot resolve KDC for requested realm
Cause: Kerberos no puede determinar ningún KDC para el dominio.
Solución: asegúrese de que el archivo de configuración de Kerberos (krb5.conf) especifique un KDC en la sección realm.
Cannot resolve network address for KDCs 'hostname' discovered via DNS Service Location records for realm 'realm-name'
Cannot resolve network address for KDCs 'hostname' specified in krb5.conf(4) for realm 'realm-name'
Cause: el archivo krb5.conf o el registro de servidor DNS se configuró de manera incorrecta.
Solución: asegúrese de que el archivo de configuración de Kerberos (/etc/krb5/krb5.conf) y que los registros de servidor DNS para el KDC estén configurados correctamente.
Can't open/find Kerberos configuration file
Cause: el archivo de configuración de Kerberos (krb5.conf ) no estaba disponible.
Solución: asegúrese de que el archivo krb5.conf esté disponible en la ubicación correcta y tenga los permisos correctos. root debería poder escribir en este archivo y el resto debería poder leerlo.
Client 'principal' pre-authentication failed
Cause: falló la autenticación para el principal.
Solución: asegúrese de que el usuario esté utilizando la contraseña correcta.
Client or server has a null key
Cause: el principal tiene una clave nula.
Solución: modifique el principal para que tenga una clave no nula mediante el comando cpw de kadmin.
Communication failure with server while initializing kadmin interface
Cause: el host que se especificó para el KDC maestro no tiene los daemons kadmind en ejecución.
Solución: asegúrese de que ha especificado el nombre de host correcto para el KDC maestro. Si especificó el nombre de host correcto, asegúrese de que kadmind esté en ejecución en el KDC maestro que especificó.
Credentials cache file permissions incorrect
Cause: no tiene los permisos de lectura o escritura apropiados en la antememoria de credenciales (/tmp/krb5cc_uid).
Solución: asegúrese de tener los permisos de lectura y escritura en la caché de credenciales.
Operación de E/S de caché de credenciales no satisfactoria XXX
Cause: Kerberos tuvo un problema al escribir en la caché de credenciales del sistema (/tmp/krb5cc_uid).
Solución: asegúrese de que la caché de credenciales no se haya eliminado y de que haya espacio libre en el dispositivo mediante el comando df.
Decrypt integrity check failed
Cause: es posible que tenga un ticket no válido.
Solución: Verifique las dos condiciones siguientes:
asegúrese de que las credenciales sean válidas. destruya los tickets con kdestroy y cree nuevos tickets con kinit.
Asegúrese de que el host de destino tenga un archivo keytab con la versión correcta de la clave del servicio. Use kadmin para ver el número de versión de clave del principal de servicio (por ejemplo, host/FQDN-hostname) en la base de datos de Kerberos. Asimismo, utilice el comando klist -k en el host de destino para asegúrese de que tenga el mismo número de versión de clave.
Decrypt integrity check failed for client 'principal' and server 'hostname'
Cause: es posible que tenga un ticket no válido.
Solución: asegúrese de que las credenciales sean válidas. Destruya los tickets con el comando kdestroy y cree nuevos tickets con el comando kinit.
failed to obtain credentials cache
Cause: durante la inicialización de kadmin, se produjo un error cuando kadmin intentó obtener credenciales para el principal admin.
Solución: Asegúrese de haber utilizado el principal y la contraseña correctos cuando ejecutó el comando kadmin.
Field is too long for this implementation
Cause: el tamaño del mensaje que enviaba una aplicación Kerberizada era demasiado largo. Este error se puede generar si el protocolo de transporte es UDP. Que tiene un tamaño máximo de mensaje de 65535 bytes de manera predeterminada. Además, hay límites en los campos individuales dentro de un mensaje de protocolo que se envía por el servicio Kerberos.
Solución: verifique que no haya restringido el transporte a UDP en el archivo /etc/krb5/kdc.conf del servidor KDC.
GSS-API (or Kerberos) error
Cause: este mensaje es un mensaje de error genérico de GSS-API o Kerberos y puede ser causado por diversos problemas.
Solución: compruebe el archivo /var/krb5/kdc.log para encontrar el mensaje de error más específico que se registró cuando se produjo este error.
Improper format of Kerberos configuration file
Cause: el archivo de configuración de Kerberos tiene entradas no válidas.
Solución: asegúrese de que todas las relaciones en el archivo krb5.conf estén seguidas del signo “=” y un valor. Asimismo, verifique que los paréntesis estén presentes en pares para cada subsección.
Invalid credential was supplied
Service key not available
Cause: es posible que el ticket de servicio en la caché de credenciales sea incorrecto.
Solución: Destruya la caché de credenciales actual y vuelva a ejecutar el comando kinit antes de intentar utilizar este servicio.
Invalid flag for file lock mode
Cause: se produjo un error de Kerberos interno.
Solución: informe acerca del error.
Invalid message type specified for encoding
Cause: Kerberos no reconoció el tipo de mensaje que se envió mediante la aplicación Kerberizada.
Solución: si utiliza una aplicación Kerberizada desarrollada por su sitio o un vendedor, asegúrese de que la aplicación utilice Kerberos correctamente.
kadmin: Bad encryption type while changing host/FQDN's key
Cause: se incluyen más tipos de cifrado de manera predeterminada en la versión base en las versiones más nuevas. Los clientes pueden solicitar tipos de cifrado que posiblemente no sean admitidos por un KDC que ejecuta una versión anterior del software.
Solución: establezca permitted_enctypes en krb5.conf en el cliente si no desea incluir el tipo de cifrado aes256. Será necesario realizar este paso en cada nuevo cliente.
KDC can't fulfill requested option
Cause: KDC no permite la opción solicitada. Un posible problema podría ser que las opciones de posfechado o reenvío se hayan solicitado y KDC no las haya permitido. Otro problema podría ser que usted solicitó la renovación de un TGT, pero no disponía de un TGT renovable.
Solución: determine si solicita una opción que KDC no permite o un tipo de ticket que no se encuentra disponible.
KDC reply did not match expectation: KDC not found. Probably got an unexpected realm referral
Cause: la respuesta de KDC no contenía el nombre de principal esperado u otros valores en la respuesta eran incorrectos.
Solución: asegúrese de que el KDC con el que se comunica cumpla con RFC4120, que la solicitud que envía sea una solicitud Kerberos V5 y que el KDC esté disponible.
kdestroy: Could not obtain principal name from cache
Cause: la caché de credenciales no se encuentra o está dañada.
Solución: compruebe que la ubicación de la caché proporcionada sea correcta. Elimine y obtenga un nuevo TGT mediante kinit, si es necesario.
kdestroy: No credentials cache file found while destroying cache
Cause: la caché de credenciales (/tmp/krb5c_uid) no se encuentra o está dañada.
Solución: compruebe que la ubicación de la caché proporcionada sea correcta. Elimine y obtenga un nuevo TGT mediante kinit, si es necesario.
kdestroy: TGT expire warning NOT deleted
Cause: la caché de credenciales no se encuentra o está dañada.
Solución: compruebe que la ubicación de la caché proporcionada sea correcta. Elimine y obtenga un nuevo TGT mediante kinit, si es necesario.
Kerberos authentication failed
Cause: la contraseña de Kerberos es incorrecta o es posible que la contraseña no esté sincronizada con la contraseña de UNIX.
Solución: si las contraseñas no están sincronizadas, debe especificar una contraseña diferente para completar la autenticación Kerberos. Es posible que el usuario haya olvidado su contraseña original.
Key version number is not available for principal principal
Cause: la versión de clave de las claves no coincide con la versión para las claves en el servidor de aplicaciones.
Solución: compruebe la versión de las claves en el servidor de aplicaciones mediante el comando klist -k.
Key version number for principal in key table is incorrect
Cause: una versión de clave del principal en el archivo keytab es diferente de la versión en la base de datos de Kerberos. Es posible que una clave del servicio haya cambiado o que utilice un ticket de servicio antiguo.
Solución: si la clave del servicio ha cambiado (por ejemplo, mediante el uso de kadmin), deberá extraer la nueva clave y almacenarla en el archivo keytab del host donde se ejecuta el servicio.O bien, es posible que utilice un ticket de servicio antiguo que tiene una clave anterior. Es posible que desee ejecutar el comando kdestroy y luego el comando kinit nuevamente.
kinit: gethostname failed
Cause: un error en la configuración de red local provoca el fallo de kinit.
Solución: asegúrese de que el host esté configurado correctamente.
login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1
Cause: no se encuentra el módulo PAM de Kerberos o no es un binario ejecutable válido.
Solución: asegúrese de que el módulo PAM de Kerberos esté en el directorio /usr/lib/security y que sea un binario ejecutable válido. Además, asegúrese de que el archivo de configuración del PAM para login contiene la ruta correcta a pam_krb5.so.1.
Looping detected getting initial creds: 'client-principal' requesting ticket 'service-principal'. Max loops is value. Make sure a KDC is available.
Cause: Kerberos realizó varios intentos de obtener los tickets iniciales pero no tuvo éxito.
Solución: asegúrese de que al menos un KDC responda a las solicitudes de autenticación.
Master key does not match database
Cause: el volcado de base de datos cargado no se creó a partir de una base de datos que contiene la clave maestra. La clave maestra se encuentra en /var/krb5/.k5. REALM.
Solución: asegúrese de que la clave maestra en el volcado de base de datos cargado coincida con la clave maestra ubicada en /var/krb5/.k5. REALM.
Matching credential not found
Cause: la credencial concordante para su solicitud no se ha encontrado. Su solicitud necesita credenciales que no están disponibles en la caché de credenciales.
Solución: Destruya los tickets con kdestroy y cree nuevos tickets con kinit.
Message out of order
Cause: mensajes que se enviaron cuando se utilizaba privacidad de orden secuencial llegaron fuera de orden. Es posible que algunos mensajes se hayan perdido en el tránsito.
Solución: debe reinicializar la sesión de Kerberos.
Message stream modified
Cause: la suma de comprobación calculada y la suma de comprobación de mensaje no coinciden. Es posible que el mensaje se haya modificado durante el tránsito, lo que puede indicar una infracción de seguridad.
Solución: asegúrese de que los mensajes se envíen a través de la red correctamente. Debido a que este mensaje también puede indicar la posible alteración de mensajes durante el envío, destruya los tickets y reinicialice los servicios Kerberos que utiliza.