Show Table of Contents
B.4.1.
B.4. ログインと認証の問題
B.4.1. ipa コマンド実行時の Kerberos GSS の失敗
サーバーのインストール直後に
ipa コマンドを実行しようとすると、以下のような Kerberos エラーが発生します。
ipa: ERROR: Kerberos error: ('Unspecified GSS failure. Minor code may provide more information', 851968)/('Decrypt integrity check failed', -1765328353)エラー内容:
DNS が正しく設定されていません。
解決方法:
DNS 設定をチェックします。
- IdM サーバーの DNS 要件については、「ホスト名および DNS の設定」 を参照してください。
- Active Directory 信頼の DNS 要件については、『Windows 統合ガイド』 の DNS およびレルム設定 を参照してください。
B.4.2. GSS-API 使用時の SSH 接続の失敗
SSH を使用したユーザーの IdM マシンへのログインが失敗します。
エラー内容:
SSH がセキュリティーに GSS-API を使用して IdM リソースに接続しようとすると、GSS-API は最初に DNS レコードを検証します。SSH の失敗は、多くの場合、逆引き DNS エントリーが間違っていることが原因です。レコードが間違っていると、SSH は IdM リソースの場所を特定できません。
解決方法:
「ホスト名および DNS の設定」 にあるように DNS 設定をチェックします。
一時的な回避策としては、SSH 設定内で逆引き DNS 検索を無効にすることもできます。これを実行するには、
/etc/ssh/ssh_config ファイル内で GSSAPITrustDNS を no に設定します。逆引き DNS レコードを使用する代わりに、SSH は特定のユーザー名を GSS-API に直接渡します。
B.4.3. OTP トークンが同期されない問題
トークンが非同期なため、OTP を使った認証が失敗します。
解決方法:
トークンを再同期します。トークンはその種類や、ユーザーにトークン設定変更のパーミッションがあるかどうかに関わらず、だれでも再同期することができます。
- IdM web UI では、ログインページの Sync OTP Token をクリックします。
図B.1 OTP トークンの同期
コマンドラインでは、ipa otptoken-syncコマンドを実行します。 - トークンの再同期に必要な情報を提供します。たとえば、IdM は標準パスワードとトークンが生成する 2 つのトークンコードを要求します。
注記
再同期は、パスワードの有効期限が切れていても、実行できます。期限切れのパスワードを使用してトークンを再同期した後に IdM にログインすると、システムがパスワードの変更を要求します。
B.4.4. スマートカード認証でタイムアウトエラーメッセージが出て失敗する問題
sssd_pam.log と sssd_EXAMPLE.COM.log のファイルに以下のようなタイムアウトのエラーメッセージが含まれます。
Wed Jun 14 18:24:03 2017) [sssd[pam]] [child_handler_setup] (0x2000): Setting up signal handler up for pid [12370] (Wed Jun 14 18:24:03 2017) [sssd[pam]] [child_handler_setup] (0x2000): Signal handler set up for pid [12370] (Wed Jun 14 18:24:08 2017) [sssd[pam]] [pam_initgr_cache_remove] (0x2000): [idmeng] removed from PAM initgroup cache (Wed Jun 14 18:24:13 2017) [sssd[pam]] [p11_child_timeout] (0x0020): Timeout reached for p11_child. (Wed Jun 14 18:24:13 2017) [sssd[pam]] [pam_forwarder_cert_cb] (0x0040): get_cert request failed. (Wed Jun 14 18:24:13 2017) [sssd[pam]] [pam_reply] (0x0200): pam_reply called with result [4]: System error.
エラー内容:
転送されたスマートカードリーダーやオンライン証明書状態プロトコル (OCSP) を使用する場合は、ユーザーがスマートカードを使って認証できるようにするために、特定のデフォルト値を調整する必要がある場合があります。
解決方法:
認証先のサーバーまたはクライアントで、
/etc/sssd/sssd.conf ファイルに変更を加えます。
[pam]セクションのp11_child_timeoutの値を 60 秒に増やします。[domain/EXAMPLE.COM]セクションのkrb5_auth_timeoutの値を 60 秒に増やします。- 証明書で OCSP を使用している場合は、OCSP サーバーに到達できることを確認します。OCSP サーバーに直接到達できない場合は、プロキシー OCSP サーバー設定で
/etc/sssd/sssd.confに以下のオプションを追加します。certificate_verification = ocsp_default_responder=http://ocsp.proxy.url, ocsp_default_responder_signing_cert=nickname
nickname を、/etc/pki/nssdb/ディレクトリー内の証明書に署名する OCSP のニックネームに置き換えます。これらのオプションの詳細については、sssd.conf(5) man ページを参照してください。
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.