Show Table of Contents
B.4.1.
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
B.4. ログインおよび認証の問題
B.4.1. ipa コマンドの実行時に Kerberos GSS 障害
サーバーのインストール直後に、ipa コマンドを実行しようとすると Kerberos エラーが発生します。以下に例を示します。
ipa: ERROR: Kerberos error: ('Unspecified GSS failure. Minor code may provide more information', 851968)/('Decrypt integrity check failed', -1765328353)エラー内容:
DNS が適切に設定されていません。
問題を解決するには、以下を実行します。
DNS 設定を確認します。
- IdM 「ホスト名および DNS 設定」 DNS 要件については、を参照してください。
- Active Directory 信頼の DNS 『要件については、『Windows 統合ガイド』の「DNS』 とレルムの設定 」を参照してください。
B.4.2. GSS-API の使用時に SSH 接続に失敗する
ユーザーは、SSH を使用して IdM マシンにログインできません。
エラー内容:
SSH がセキュリティーメソッドとして GSS-API を使用して IdM リソースへの接続を試みると、GSS-API は最初に DNS レコードを検証します。SSH の障害は、異常な逆引き DNS エントリーによって引き起こされます。レコードが正しくないと、SSH が IdM リソースを見つけることができません。
問題を解決するには、以下を実行します。
の説明に従って DNS 「ホスト名および DNS 設定」。
一時的な回避策として、SSH 設定で逆引き DNS ルックアップを無効にすることもできます。
これには、/etc/ssh/ssh_config ファイルで GSSAPITrustDNS を no に設定します。SSH は逆引き DNS レコードを使用する代わりに、指定のユーザー名を GSS-API に直接渡します。
B.4.3. OTP トークンの同期
トークンは同期されていないため、OTP を使用した認証に失敗します。
問題を解決するには、以下を実行します。
トークンを再同期します。ユーザーは、トークンタイプや、トークン設定を変更するパーミッションがあるかどうかに関係なく、トークンを再同期できます。
- IdM Web UI - ログインページで Sync OTP Token をクリックします。
図B.1 OTP トークンの同期
コマンドラインから、ipa otptoken-sync コマンドを実行します。 - トークンの再同期に必要な情報を入力します。たとえば、IdM は、標準パスワードと、トークンが生成した 2 つのトークンコードを指定するよう要求します。注記再同期は、標準パスワードの期限が切れても機能します。有効期限の切れたパスワードを使用してトークンを再同期したら、IdM にログインしてシステムによりパスワードの変更が求められます。
B.4.4. スマートカード認証が失敗し、タイムアウトのエラーメッセージ
sssd_pam.log および sssd_EXAMPLE.COM.log ファイルには、以下のようなタイムアウトエラーメッセージが含まれます。
Wed Jun 14 18:24:03 2017) [sssd[pam]] [child_handler_setup] (0x2000): Setting up signal handler up for pid [12370] (Wed Jun 14 18:24:03 2017) [sssd[pam]] [child_handler_setup] (0x2000): Signal handler set up for pid [12370] (Wed Jun 14 18:24:08 2017) [sssd[pam]] [pam_initgr_cache_remove] (0x2000): [idmeng] removed from PAM initgroup cache (Wed Jun 14 18:24:13 2017) [sssd[pam]] [p11_child_timeout] (0x0020): Timeout reached for p11_child. (Wed Jun 14 18:24:13 2017) [sssd[pam]] [pam_forwarder_cert_cb] (0x0040): get_cert request failed. (Wed Jun 14 18:24:13 2017) [sssd[pam]] [pam_reply] (0x0200): pam_reply called with result [4]: System error.
エラー内容:
転送されたスマートカードリーダーまたは Online Certificate Status Protocol(OCSP)を使用する場合は、ユーザーがスマートカードで認証できるように、特定のデフォルト値の調整が必要になる場合があります。
問題を解決するには、以下を実行します。
ユーザーが認証するクライアントとクライアント上の場合は、/etc/sssd/sssd.conf ファイルでこれらの変更を加えます。
[pam]セクションで、p11_child_timeoutの値を 60 秒に増やします。[domain/EXAMPLE.COM]セクションで、krb5_auth_timeoutの値を 60 秒に増やします。- 証明書で OCSP を使用している場合は、OCSP サーバーに到達できることを確認します。OCSP サーバーに直接アクセスできない場合は、以下のオプションを
/etc/sssd/sssd.confに追加して、プロキシー OCSP サーバーを設定します。certificate_verification = ocsp_default_responder=http://ocsp.proxy.url, ocsp_default_responder_signing_cert=nickname
nickname を、/etc/pki/nssdb/ ディレクトリーの OCSP 署名証明書のニックネームに置き換えます。これらのオプションの詳細は、sssd.conf(5) の man ページを参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。