Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

A.2. kinit 認証の失敗の調査

一般的なトラブルシューティング

  1. IdM クライアントで、kinit プロセスからのデバッグメッセージを表示します。
    $ KRB5_TRACE=/dev/stdout kinit admin
  2. 以下の点を確認します。
    • サーバーとクライアントの転送レコードが、サーバーと影響を受けるクライアントの両方で正しいものになります。
      # host client_fully_qualified_domain_name
    • サーバーの転送レコードが、サーバーと影響を受けるクライアントの両方で正しい。
      # host server_fully_qualified_domain_name
      # host server_IP_address
      ホスト server_IP_address コマンドは、以下のように、末尾に末尾のドットを持つ完全修飾ホスト名を返す必要があります。
      server.example.com.
  3. クライアントの /etc/hosts ファイルを確認し、以下を確認します。
    • ファイルのすべてのサーバーエントリーが正しくありません。
    • すべてのサーバーエントリーでは、最初の名前は完全修飾ドメイン名です。
  4. IdM サーバーで、krb5kdc サービスおよびdirsrv サービスが実行中であることを確認します。
    # systemctl status krb5kdc
    # systemctl status dirsrv.target
  5. Kerberos キー配布センター(KDC)ログ (/var/log/krb5kdc.log )を確認します。
  6. KDC が /etc/krb5.conf ファイルにハードコーディングされている場合(ファイルが KDC ディレクティブを明示的に設定し、dns_lookup_kdc = false 設定を使用する場合は、各マスターサーバーで ipactl status コマンドを使用します)。コマンドで、KDC として一覧表示される各サーバーの IdM サービスの状態を確認します。
    # ipactl status
    Directory Service: RUNNING
    krb5kdc Service: RUNNING
    kadmin Service: RUNNING
    named Service: RUNNING
    httpd Service: RUNNING
    ipa-custodia Service: RUNNING
    ntpd Service: RUNNING
    pki-tomcatd Service: RUNNING
    ipa-otpd Service: RUNNING
    ipa-dnskeysyncd Service: RUNNING
    ipa: INFO: The ipactl command was successful

レルムの KDC を検索できないエラーのトラブルシューティング

初回のクレデンシャルの取得中にレルム「EXAMPLE.COM」の KDC が見つからないと、kinit 認証でエラーが発生すると、KDC がサーバーで実行されていないか、クライアントが DNS が誤って設定されたことが示されます。この場合は、以下の手順を行います。
  1. /etc/krb5.conf ファイル (dns_lookup_kdc = true 設定)で DNS 検出が有効になっている場合は、dig ユーティリティーを使用して、以下のレコードが解決可能かどうかを確認します。
    $ dig -t TXT _kerberos.ipa.example.com
    $ dig -t SRV _kerberos._udp.ipa.example.com
    $ dig -t SRV _kerberos._tcp.ipa.example.com
    以下の例では、上記の dig コマンドの 1 つがこの出力で失敗しています。
    ; <<>> DiG 9.11.0-P2-RedHat-9.11.0-6.P2.fc25 <<>> -t SRV _kerberos._tcp.ipa.server.example
    ;; global options: +cmd
    ;; connection timed out; no servers could be reached
    この出力では、named サービスがマスターサーバーで実行されていないことを示しています。
  2. DNS ルックアップが失敗した場合は、「DNS のトラブルシューティング」

関連情報


このページには機械翻訳が使用されている場合があります (詳細はこちら)。