이 절에서는 Kerberos 명령, Kerberos 데몬, PAM 프레임워크, GSS 인터페이스, NFS 서비스 및 Kerberos 라이브러리에 대한 일반 오류 메시지 목록(A-M)을 제공합니다.
Bad lifetime value
Cause: 제공된 수명 값이 유효하지 않거나 올바르지 않은 형식입니다.
해결 방법: 제공된 값이 kinit(1) 매뉴얼 페이지의 Time Formats 절과 일치하는지 확인하십시오.
Bad start time value
Cause: 제공된 시작 시간 값이 유효하지 않거나 올바르지 않은 형식입니다.
해결 방법: 제공된 값이 kinit(1) 매뉴얼 페이지의 Time Formats 절과 일치하는지 확인하십시오.
Cannot contact any KDC for requested realm
Cause: 요청한 영역에 응답하는 KDC가 없습니다.
해결 방법: 적어도 하나의 KDC(마스터 또는 슬레이브)에 연결 가능한지 또는 krb5kdc 데몬이 KDC에서 실행 중인지 확인하십시오. /etc/krb5/krb5.conf 파일에서 구성된 KDC(kdc = kdc-name )의 목록을 확인하십시오.
Cannot determine realm for host: host is 'hostname'
Cause: Kerberos가 호스트에 대한 영역 이름을 확인할 수 없습니다.
해결 방법: 기본 영역 이름이 있는지 또는 도메인 이름 매핑이 Kerberos 구성 파일(krb5.conf)에 설정되었는지 확인하십시오.
Cannot find a kadmin KDC entry in krb5.conf(4) or DNS Service Location records for realm ' realmname'
Cannot find a kpassword KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find a master KDC entry in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cannot find any KDC entries in krb5.conf(4) or DNS Service Location records for realm 'realmname'
Cause: krb5.conf 파일 또는 DNS 서버 레코드가 올바르지 않게 구성되었습니다.
해결 방법: Kerberos 구성 파일(/etc/krb5/krb5.conf) 또는 KDC에 대한 DNS 서버 레코드가 제대로 구성되었는지 확인하십시오.
Cannot find address for 'hostname': 'error-string'
Cause: 지정된 호스트 이름에 대한 DNS 레코드에서 주소를 찾을 수 없습니다.
해결 방법: DNS에서 호스트 레코드를 수정하거나, DNS 조회 프로세스에서 오류를 수정하십시오.
cannot initialize realm realm-name
Cause: KDC에 stash 파일이 없는 것일 수 있습니다.
해결 방법: KDC에 stash 파일이 있는지 확인하십시오. 없을 경우 kdb5_util 명령을 사용하여 stash 파일을 만든 다음 krb5kdc 명령을 다시 시작하십시오.
Cannot resolve KDC for requested realm
Cause: Kerberos가 영역에 대한 KDC를 확인할 수 없습니다.
해결 방법: Kerberos 구성 파일(krb5.conf)의 realm 섹션에 KDC가 지정되었는지 확인하십시오.
Cannot resolve network address for KDCs 'hostname' discovered via DNS Service Location records for realm 'realm-name'
Cannot resolve network address for KDCs 'hostname' specified in krb5.conf(4) for realm 'realm-name'
Cause: krb5.conf 파일 또는 DNS 서버 레코드가 올바르지 않게 구성되었습니다.
해결 방법: Kerberos 구성 파일(/etc/krb5/krb5.conf) 및 KDC에 대한 DNS 서버 레코드가 제대로 구성되었는지 확인하십시오.
Can't open/find Kerberos configuration file
Cause: Kerberos 구성 파일(krb5.conf)을 사용할 수 없습니다.
해결 방법: krb5.conf 파일이 올바른 위치에서 사용 가능하며 올바른 권한을 보유하고 있는지 확인하십시오. root는 이 파일을 쓸 수 있어야 하며 그 외의 다른 사용자는 읽을 수 있어야 합니다.
Client 'principal' pre-authentication failed
Cause: 주체에 대한 사전 인증이 실패했습니다.
해결 방법: 사용자가 올바른 암호를 사용하고 있는지 확인하십시오.
Client or server has a null key
Cause: 주체에 널 키가 있습니다.
해결 방법: kadmin의 cpw 명령을 사용하여 주체가 널이 아닌 키를 갖도록 수정하십시오.
Communication failure with server while initializing kadmin interface
Cause: 마스터 KDC에 대해 지정된 호스트에서 kadmind 데몬이 실행 중이지 않습니다.
해결 방법: 마스터 KDC에 대해 올바른 호스트 이름을 지정했는지 확인하십시오. 올바른 호스트 이름을 지정한 경우, 지정한 마스터 KDC에서 kadmind이 실행 중인지 확인하십시오.
Credentials cache file permissions incorrect
Cause: 자격 증명 캐시(/tmp/krb5cc_uid)에 대해 적합한 읽기 또는 쓰기 권한을 가지고 있습니다.
해결 방법: 자격 증명 캐시에 대한 읽기 또는 쓰기 권한이 있는지 확인하십시오.
Credentials cache I/O operation failed XXX
Cause: 시스템의 자격 증명 캐시(/tmp/krb5cc_uid)에 쓰는 중 Kerberos에서 문제가 발생했습니다.
해결 방법: 자격 증명 캐시가 제거되었는지, df 명령을 사용하여 장치에 남은 공간이 있는지 확인하십시오.
Decrypt integrity check failed
Cause: 잘못된 티켓이 있을 수 있습니다.
해결 방법: 다음 두 조건을 확인하십시오.
자격 증명이 유효한지 확인하십시오. kdestroy를 사용하여 티켓을 삭제한 다음 kinit를 사용하여 티켓을 새로 만드십시오.
대상 호스트에 서비스 키의 버전이 올바른 keytab 파일이 있는지 확인하십시오. Kerberos 데이터베이스에서 서비스 주체(예: host/FQDN-hostname)의 키 버전 번호를 확인하려면 kadmin을 사용하십시오. 또한 대상 호스트에서 klist -k 명령을 사용하여 동일한 키 버전 번호를 갖는지도 확인하십시오.
Decrypt integrity check failed for client 'principal' and server 'hostname'
Cause: 잘못된 티켓이 있을 수 있습니다.
해결 방법: 자격 증명이 유효한지 확인하십시오. kdestroy 명령을 사용하여 티켓을 삭제한 다음 kinit 명령을 사용하여 티켓을 새로 만드십시오.
failed to obtain credentials cache
Cause: kadmin 초기화 중 kadmin이 admin 주체에 대한 자격 증명을 얻으려고 시도했는데 오류가 발생했습니다.
해결 방법: kadmin 명령을 실행할 때 올바른 주체와 암호를 사용했는지 확인하십시오.
Field is too long for this implementation
Cause: Kerberos화된 응용 프로그램에서 전송 중인 메시지 크기가 너무 큽니다. 전송 프로토콜이 UDP인 경우 이 오류가 발생할 수 있습니다. 이 경우 기본 최대 메시지 크기는 65535바이트입니다. 또한 Kerberos 서비스에서 전송한 프로토콜 메시지 내에 개별 필드에 대한 제한이 있습니다.
해결 방법: KDC 서버의 /etc/krb5/kdc.conf 파일에서 전송을 UDP로 제한하지 않았는지 확인하십시오.
GSS-API (or Kerberos) error
Cause: 이 메시지는 일반 GSS-API 또는 Kerberos 오류 메시지로, 서로 다른 여러 문제로 인해 발생할 수 있습니다.
해결 방법: /var/krb5/kdc.log 파일을 확인하여 이 오류가 발생했을 때 기록된 더 구체적인 오류 메시지를 찾으십시오.
Improper format of Kerberos configuration file
Cause: Kerberos 구성 파일에 잘못된 항목이 있습니다.
해결 방법: krb5.conf 파일의 모든 관계 뒤에 “=” 기호와 값이 있는지 확인하십시오. 또한 각 하위 절에 대한 쌍에 대괄호가 있는지도 확인하십시오.
Invalid credential was supplied
Service key not available
Cause: 자격 증명 캐시에 있는 서비스 티켓이 올바르지 않을 수 있습니다.
해결 방법: 이 서비스를 사용하기 전에 현재 자격 증명 캐시를 삭제한 다음 kinit 명령을 다시 실행하십시오.
Invalid flag for file lock mode
Cause: 내부 Kerberos 오류가 발생했습니다.
해결 방법: 버그를 보고하십시오.
Invalid message type specified for encoding
Cause: Kerberos가 Kerberos화된 응용 프로그램에서 전송한 메시지 유형을 인식할 수 없습니다.
해결 방법: 사이트 또는 공급업체에서 개발한 Kerberos화된 응용 프로그램을 사용 중인 경우, Kerberos를 올바르게 사용하고 있는지 확인하십시오.
kadmin: Bad encryption type while changing host/FQDN's key
Cause: 새 릴리스에서는 기본 릴리스에 더 많은 기본 암호화 유형이 포함됩니다. 이전 버전의 소프트웨어에서 실행 중인 KDC에서는 지원되지 않는 암호화 유형을 클라이언트가 요청할 수 있습니다.
해결 방법: 클라이언트의 krb5.conf에서 permitted_enctypes를 설정하여 aes256 암호화 유형이 포함되지 않도록 합니다. 이 단계는 새 클라이언트마다 수행해야 합니다.
KDC can't fulfill requested option
Cause: KDC에서 요청한 옵션을 허용하지 않습니다. 후일자 또는 전달 가능 옵션을 요청했는데 KDC에서 이를 허용하지 않는 것이 문제일 수 있습니다. 또한 TGT 갱신을 요청했지만 갱신 가능 TGT가 없는 것도 문제일 수 있습니다.
해결 방법: KDC에서 허용하지 않는 옵션 또는 사용할 수 없는 티켓의 유형을 요청하고 있는지 확인하십시오.
KDC reply did not match expectation: KDC not found. Probably got an unexpected realm referral
Cause: KDC 응답에 예상 주체 이름이 포함되어 있지 않거나, 응답의 다른 값이 올바르지 않습니다.
해결 방법: 통신 중인 KDC가 RFC4120을 준수하는지, 전송하는 요청이 Kerberos V5 요청인지, KDC가 사용 가능한지 확인하십시오.
kdestroy: Could not obtain principal name from cache
Cause: 자격 증명 캐시가 누락되었거나 손상되었습니다.
해결 방법: 제공된 캐시 위치가 올바른지 확인하십시오. TGT를 제거하고 필요한 경우 kinit를 사용하여 새 TGT를 얻으십시오.
kdestroy: No credentials cache file found while destroying cache
Cause: 자격 증명 캐시(/tmp/krb5c_ uid)가 누락되었거나 손상되었습니다.
해결 방법: 제공된 캐시 위치가 올바른지 확인하십시오. TGT를 제거하고 필요한 경우 kinit를 사용하여 새 TGT를 얻으십시오.
kdestroy: TGT expire warning NOT deleted
Cause: 자격 증명 캐시가 누락되었거나 손상되었습니다.
해결 방법: 제공된 캐시 위치가 올바른지 확인하십시오. TGT를 제거하고 필요한 경우 kinit를 사용하여 새 TGT를 얻으십시오.
Kerberos authentication failed
Cause: Kerberos 암호가 올바르지 않거나, 암호가 UNIX 암호와 동기화되지 않았을 수 있습니다.
해결 방법: 암호가 동기화되지 않은 경우 암호를 지정하여 Kerberos 인증을 완료해야 합니다. 사용자가 자신의 원래 암호를 잊어버렸을 수 있습니다.
Key version number is not available for principal principal
Cause: 키 버전이 애플리케이션 서버의 키 버전과 일치하지 않습니다.
해결 방법: klist -k 명령을 사용하여 애플리케이션 서버의 키 버전을 확인하십시오.
Key version number for principal in key table is incorrect
Cause: keytab 파일의 주체 키 버전이 Kerberos 데이터베이스의 버전과 다릅니다. 서비스 키가 변경되었거나 이전 서비스 티켓을 사용하고 있을 수 있습니다.
해결 방법: 서비스 키가 변경된 경우(예: kadmin을 사용하여), 새 키를 추출한 다음 서비스가 실행 중인 호스트 keytab 파일에 저장해야 합니다.또는 이전 키를 포함하는 이전 서비스 티켓을 사용하고 있을 수 있습니다. kdestroy 명령을 실행한 다음 kinit 명령을 다시 실행할 수 있습니다.
kinit: gethostname failed
Cause: 로컬 네트워크 구성의 오류로 인해 kinit가 실패했습니다.
해결 방법: 호스트가 올바르게 구성되었는지 확인하십시오.
login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1
Cause: Kerberos PAM 모듈이 누락되었거나 유효한 실행 파일 이진이 아닙니다.
해결 방법: Kerberos PAM 모듈이 /usr/lib/security 디렉토리에 있으며 유효한 실행 파일 이진인지 확인하십시오. 또한 login에 대한 PAM 구성 파일에 pam_krb5.so.1의 올바른 경로가 포함되어 있는지 확인하십시오.
Looping detected getting initial creds: 'client-principal' requesting ticket 'service-principal'. Max loops is value. Make sure a KDC is available.
Cause: Kerberos가 초기 티켓을 얻으려고 여러 번 시도했지만 실패했습니다.
해결 방법: 적어도 하나의 KDC가 인증 요청에 응답하는지 확인하십시오.
Master key does not match database
Cause: 로드된 데이터베이스 덤프가 마스터 키를 포함하는 데이터베이스에서 생성되지 않았습니다. 마스터 키는 /var/krb5/.k5.REALM에 있습니다.
해결 방법: 로드된 데이터베이스 덤프의 마스터 키가 /var/krb5/.k5.REALM에 있는 마스터 키와 일치하는지 확인하십시오.
Matching credential not found
Cause: 요청의 일치하는 자격 증명을 찾을 수 없습니다. 자격 증명 캐시에 사용할 수 없는 자격 증명이 요청에 필요합니다.
해결 방법: kdestroy를 사용하여 티켓을 삭제한 다음 kinit를 사용하여 티켓을 새로 만드십시오.
Message out of order
Cause: 순차적 프라이버시를 사용하여 전송된 메시지가 잘못된 순서로 도착했습니다. 전송 중 일부 메시지가 손실되었을 수 있습니다.
해결 방법: Kerberos 세션을 다시 초기화해야 합니다.
Message stream modified
Cause: 계산된 체크섬과 메시지 체크섬이 일치하지 않습니다. 전송 중 메시지가 수정되었을 수 있는데, 이는 보안 누출을 나타내는 것일 수 있습니다.
해결 방법: 메시지가 네트워크를 통해 올바르게 전송되고 있는지 확인하십시오. 이 메시지는 또한 전송 중에 메시지가 변조되었을 가능성을 나타내는 것일 수도 있으므로, 티켓을 삭제하고 사용 중인 Kerberos 서비스를 다시 초기화하십시오.