Menu Close

Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

A.2. kinit 認証の失敗の調査

一般的なトラブルシューティング

  1. IdM クライアントで、kinit プロセスからのデバッグメッセージを表示します。
    $ KRB5_TRACE=/dev/stdout kinit admin
  2. 以下を確認します。
    • サーバーと、影響を受けるクライアントの両方で、クライアント転送レコードが正しいこと。
      # host client_fully_qualified_domain_name
    • サーバーと、影響を受けるクライアントの両方で、サーバー転送レコードが正しいこと。
      # host server_fully_qualified_domain_name
      # host server_IP_address
      host server_IP_address は、完全修飾のホスト名を返します。ホスト名の末尾にはピリオドを使用します。以下に例を示します。
      server.example.com.
  3. クライアントで /etc/hosts ファイルを確認し、以下を確認します。
    • ファイル内のすべてのサーバーエントリーが正しいこと。
    • すべてのサーバーエントリーで、最初の名前は完全修飾ドメイン名となっていること。
    /etc/hosts ファイル」も参照してください。
  4. 「ホスト名および DNS 設定」 の他の条件を満たしていることを確認してください。
  5. IdM サーバーで、krb5kdc サービスおよび dirsrv サービスが実行していることを確認します。
    # systemctl status krb5kdc
    # systemctl status dirsrv.target
  6. Kerberos キー配布センター (KDC) のログを確認します(/var/log/krb5kdc.log)。
  7. KDC が、/etc/krb5.conf ファイルにハードコードされている場合 (ファイルが明示的に KDC ディレクティブを設定し、dns_lookup_kdc = false 設定を使用する場合) は、マスターサーバーごとに ipactl のステータス コマンドを使用します。コマンドで、KDC として一覧表示されている各サーバーの IdM サービスのステータスを確認します。
    # ipactl status
    Directory Service: RUNNING
    krb5kdc Service: RUNNING
    kadmin Service: RUNNING
    named Service: RUNNING
    httpd Service: RUNNING
    ipa-custodia Service: RUNNING
    ntpd Service: RUNNING
    pki-tomcatd Service: RUNNING
    ipa-otpd Service: RUNNING
    ipa-dnskeysyncd Service: RUNNING
    ipa: INFO: The ipactl command was successful

Cannot find KDC for realmエラーのトラブルシューティング

kinit 認証が Cannot find KDC for realm "EXAMPLE.COM" while getting initial credentials というエラーで失敗した場合は、KDC がサーバーで実行していないか、クライアントが DNS を誤って設定していることを示しています。このような状況では、以下の手順を試してください。
  1. /etc/krb5.conf ファイルで DNS 検出が有効になっている場合 (dns_lookup_kdc = true 設定) は、dig ユーティリティを使用して、以下のレコードが解決可能かどうかを確認します。
    $ dig -t TXT _kerberos.ipa.example.com
    $ dig -t SRV _kerberos._udp.ipa.example.com
    $ dig -t SRV _kerberos._tcp.ipa.example.com
    以下の例では、上記の dig コマンドのいずれかが失敗しています。
    ; <<>> DiG 9.11.0-P2-RedHat-9.11.0-6.P2.fc25 <<>> -t SRV _kerberos._tcp.ipa.server.example
    ;; global options: +cmd
    ;; connection timed out; no servers could be reached
    この出力は、名前 サービスがマスターサーバーで実行していないことを示していました。
  2. DNS ルックアップが失敗した場合は、「DNS のトラブルシューティング」 の手順に進みます。

関連情報