Show Table of Contents
このページには機械翻訳が使用されている場合があります (詳細はこちら)。
A.2. kinit 認証エラー
全般的トラブルシューティング
- IdM クライアント上で、
kinit
プロセス空のデバッグメッセージを表示します。$ KRB5_TRACE=/dev/stdout kinit admin
- 以下の点を確認します。
- クライアント転送レコードが、サーバーと影響されるクライアントの両方で正常であること。
# host client_fully_qualified_domain_name
- サーバー転送レコードが、サーバーと影響されるクライアントの両方で正常であること。
# host server_fully_qualified_domain_name
# host server_IP_address
host server_IP_address
は、以下のように完全修飾ホスト名の最後にピリオドが付いたものを返す必要があります。server.example.com.
- クライアント上の
/etc/hosts
ファイルをチェックして、以下を確認します。- ファイル内の全サーバーエントリーが正しいこと。
- 全サーバーエントリーで、名前が完全修飾ドメイン名であること。
「/etc/hosts
ファイル」 も参照してください。 - 「ホスト名および DNS の設定」 にある他の条件も満たしていることを確認します。
- IdM サーバー上で、
krb5kdc
とdirsrv
のサービスが稼働中であることを確認します。# systemctl status krb5kdc
# systemctl status dirsrv.target
- Kerberos キー配布センター (KDC) のログを
/var/log/krb5kdc.log
でチェックします。 - KDC が
/etc/krb5.conf
ファイル (このファイルは KDC ディレクティブを明示的に設定し、dns_lookup_kdc = false
設定を使用します) がハードコーディングされている場合は、各マスターサーバーでipactl status
コマンドを使用します。このコマンドで KDC として一覧表示される各サーバーの IdM サービスのステータスをチェックします。# ipactl status
Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING named Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING ntpd Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa-dnskeysyncd Service: RUNNING ipa: INFO: The ipactl command was successful
Cannot find KDC for realm
エラーのトラブルシューティング
kinit
認証で Cannot find KDC for realm "EXAMPLE.COM" while getting initial credentials
というエラーが出て失敗する場合は、KDC がサーバーで稼働していないか、クライアントによる DNS の設定が正しくないことを示します。この場合は、以下のステップを実行します。
- DNS 検出が
/etc/krb5.conf
ファイルで有効になっている場合 (dns_lookup_kdc = true
の設定)、dig
ユーティリティーを使用して以下のレコードが解決可能かどうかをチェックします。$ dig -t TXT _kerberos.ipa.example.com
$ dig -t SRV _kerberos._udp.ipa.example.com
$ dig -t SRV _kerberos._tcp.ipa.example.com
以下は、上記のdig
コマンドの 1 つが失敗した場合に返す出力の例です。; <<>> DiG 9.11.0-P2-RedHat-9.11.0-6.P2.fc25 <<>> -t SRV _kerberos._tcp.ipa.server.example ;; global options: +cmd ;; connection timed out; no servers could be reached
この出力は、named
サービスがマスターサーバー上で稼働していないことを示します。 - DNS ルックアップが失敗する場合は、「DNS のトラブルシューティング」 にあるステップを試してください。
関連情報
- さまざまな Identity Management のログファイルに関する説明は、「Identity Management ログファイルおよびディレクトリー」を参照してください。
このページには機械翻訳が使用されている場合があります (詳細はこちら)。