Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

A.2. kinit 認証の失敗の調査

一般的なトラブルシューティング

IdM クライアントで、kinit プロセスからのデバッグメッセージを表示します。
```
$ KRB5_TRACE=/dev/stdout kinit admin
```
以下を確認します。
- サーバーと、影響を受けるクライアントの両方で、クライアント転送レコードが正しいこと。
```
# host client_fully_qualified_domain_name
```
- サーバーと、影響を受けるクライアントの両方で、サーバー転送レコードが正しいこと。
```
# host server_fully_qualified_domain_name
```
```
# host server_IP_address
```
  host server_IP_address は、完全修飾のホスト名を返します。ホスト名の末尾にはピリオドを使用します。以下に例を示します。
```
server.example.com.
```
クライアントで /etc/hosts ファイルを確認し、以下を確認します。
- ファイル内のすべてのサーバーエントリーが正しいこと。
- すべてのサーバーエントリーで、最初の名前は完全修飾ドメイン名となっていること。
「/etc/hosts ファイル」も参照してください。
「ホスト名および DNS 設定」の他の条件を満たしていることを確認してください。
IdM サーバーで、krb5kdc サービスおよび dirsrv サービスが実行していることを確認します。
```
# systemctl status krb5kdc
# systemctl status dirsrv.target
```
Kerberos キー配布センター (KDC) のログを確認します (/var/log/krb5kdc.log)。
KDC が、/etc/krb5.conf ファイルにハードコードされている場合 (ファイルが明示的に KDC ディレクティブを設定し、dns_lookup_kdc = false 設定を使用する場合) は、マスターサーバーごとに ipactl のステータス コマンドを使用します。コマンドで、KDC として一覧表示されている各サーバーの IdM サービスのステータスを確認します。
```
# ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
ntpd Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful
```

`Cannot find KDC for realm` エラーのトラブルシューティング

kinit 認証が Cannot find KDC for realm "EXAMPLE.COM" while getting initial credentials というエラーで失敗した場合は、KDC がサーバーで実行していないか、クライアントが DNS を誤って設定していることを示しています。このような状況では、以下の手順を試してください。

/etc/krb5.conf ファイルで DNS 検出が有効になっている場合 (dns_lookup_kdc = true 設定) は、dig ユーティリティーを使用して、以下のレコードが解決可能かどうかを確認します。
```
$ dig -t TXT _kerberos.ipa.example.com
$ dig -t SRV _kerberos._udp.ipa.example.com
$ dig -t SRV _kerberos._tcp.ipa.example.com
```
以下の例では、上記の dig コマンドのいずれかが失敗しています。
```
; <<>> DiG 9.11.0-P2-RedHat-9.11.0-6.P2.fc25 <<>> -t SRV _kerberos._tcp.ipa.server.example
;; global options: +cmd
;; connection timed out; no servers could be reached
```
この出力は、名前 サービスがマスターサーバーで実行していないことを示していました。
DNS ルックアップが失敗した場合は、「DNS のトラブルシューティング」の手順に進みます。

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

A.2. kinit 認証の失敗の調査

一般的なトラブルシューティング

`Cannot find KDC for realm` エラーのトラブルシューティング

関連情報

Language and Page Formatting Options

Red Hat Training

A.2. kinit 認証の失敗の調査

一般的なトラブルシューティング

Cannot find KDC for realm エラーのトラブルシューティング

関連情報

`Cannot find KDC for realm` エラーのトラブルシューティング