Show Table of Contents
B.4.1.
B.4. ログインと認証の問題
B.4.1. ipa コマンド実行時の Kerberos GSS の失敗
サーバーのインストール直後に
ipa コマンドを実行しようとすると、以下のような Kerberos エラーが発生します。
ipa: ERROR: Kerberos error: ('Unspecified GSS failure. Minor code may provide more information', 851968)/('Decrypt integrity check failed', -1765328353)エラー内容:
DNS が正しく設定されていません。
解決方法:
DNS 設定をチェックします。
- IdM サーバーの DNS 要件については、「ホスト名および DNS の設定」 を参照してください。
- Active Directory 信頼の DNS 要件については、『Windows 統合ガイド』 の DNS およびレルム設定 を参照してください。
B.4.2. GSS-API 使用時の SSH 接続の失敗
SSH を使用したユーザーの IdM マシンへのログインが失敗します。
エラー内容:
SSH がセキュリティーに GSS-API を使用して IdM リソースに接続しようとすると、GSS-API は最初に DNS レコードを検証します。SSH の失敗は、多くの場合、逆引き DNS エントリーが間違っていることが原因です。レコードが間違っていると、SSH は IdM リソースの場所を特定できません。
解決方法:
「ホスト名および DNS の設定」 にあるように DNS 設定をチェックします。
一時的な回避策としては、SSH 設定内で逆引き DNS 検索を無効にすることもできます。これを実行するには、
/etc/ssh/ssh_config ファイル内で GSSAPITrustDNS を no に設定します。逆引き DNS レコードを使用する代わりに、SSH は特定のユーザー名を GSS-API に直接渡します。
B.4.3. OTP トークンが同期されない問題
トークンが非同期なため、OTP を使った認証が失敗します。
解決方法:
トークンを再同期します。トークンはその種類や、ユーザーにトークン設定変更のパーミッションがあるかどうかに関わらず、だれでも再同期することができます。
- IdM web UI では、ログインページの Sync OTP Token をクリックします。
図B.1 OTP トークンの同期
コマンドラインでは、ipa otptoken-syncコマンドを実行します。 - トークンの再同期に必要な情報を提供します。たとえば、IdM は標準パスワードとトークンが生成する 2 つのトークンコードを要求します。
注記
再同期は、パスワードの有効期限が切れていても、実行できます。期限切れのパスワードを使用してトークンを再同期した後に IdM にログインすると、システムがパスワードの変更を要求します。
B.4.4. スマートカード認証でタイムアウトエラーメッセージが出て失敗する問題
sssd_pam.log と sssd_EXAMPLE.COM.log のファイルに以下のようなタイムアウトのエラーメッセージが含まれます。
Wed Jun 14 18:24:03 2017) [sssd[pam]] [child_handler_setup] (0x2000): Setting up signal handler up for pid [12370] (Wed Jun 14 18:24:03 2017) [sssd[pam]] [child_handler_setup] (0x2000): Signal handler set up for pid [12370] (Wed Jun 14 18:24:08 2017) [sssd[pam]] [pam_initgr_cache_remove] (0x2000): [idmeng] removed from PAM initgroup cache (Wed Jun 14 18:24:13 2017) [sssd[pam]] [p11_child_timeout] (0x0020): Timeout reached for p11_child. (Wed Jun 14 18:24:13 2017) [sssd[pam]] [pam_forwarder_cert_cb] (0x0040): get_cert request failed. (Wed Jun 14 18:24:13 2017) [sssd[pam]] [pam_reply] (0x0200): pam_reply called with result [4]: System error.
エラー内容:
転送されたスマートカードリーダーやオンライン証明書状態プロトコル (OCSP) を使用する場合は、ユーザーがスマートカードを使って認証できるようにするために、特定のデフォルト値を調整する必要がある場合があります。
解決方法:
認証先のサーバーまたはクライアントで、
/etc/sssd/sssd.conf ファイルに変更を加えます。
[pam]セクションのp11_child_timeoutの値を 60 秒に増やします。[domain/EXAMPLE.COM]セクションのkrb5_auth_timeoutの値を 60 秒に増やします。- 証明書で OCSP を使用している場合は、OCSP サーバーに到達できることを確認します。OCSP サーバーに直接到達できない場合は、プロキシー OCSP サーバー設定で
/etc/sssd/sssd.confに以下のオプションを追加します。certificate_verification = ocsp_default_responder=http://ocsp.proxy.url, ocsp_default_responder_signing_cert=nickname
nickname を、/etc/pki/nssdb/ディレクトリー内の証明書に署名する OCSP のニックネームに置き換えます。これらのオプションの詳細については、sssd.conf(5) man ページを参照してください。