Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

B.2.2. Directory Server ログにおける SASL、GSS-API、および Kerberos エラーによるレプリカの開始

レプリカが起動すると、一連の SASL バインドエラーが Directory Server(DS)ログに記録されます。認証情報キャッシュが見つからないため、GSS-API 接続に失敗したというエラーが表示されます。
slapd_ldap_sasl_interactive_bind - Error: could not perform interactive bind for id [] mech [GSSAPI]: error -2 (Local error) (SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Credentials cache file '/tmp/krb5cc_496' not found)) ...
さらに、サーバーがホストプリンシパルの Kerberos 認証情報を取得できなかったことを示す他のメッセージが発生する可能性があります。
set_krb5_creds - Could not get initial credentials for principal [ldap/ replica1.example.com] in keytab [WRFILE:/etc/dirsrv/ds.keytab]: -1765328324 (Generic error)

エラー内容:

IdM は、Kerberos 接続に GSS-API を使用します。DS インスタンスは、Kerberos 認証情報キャッシュをメモリーに維持します。IdM レプリカが停止した場合など、DS プロセスが終了すると、認証情報キャッシュが破棄されます。
レプリカの再起動時に、KDC サーバーを起動する前に DS が起動します。この開始順序により、DS の起動時に Kerberos 認証情報は認証情報キャッシュに保存されていません。つまり、エラーが発生します。
初回の失敗後、KDC の起動後に GSS-API 接続を確立するために DS re-attempts を変更します。2 回目の試行は成功し、レプリカが期待どおりに機能することを確認します。
GSS-API 接続が正常に確立され、レプリカが予想通りに機能する限り、上記の起動エラーを無視します。以下のメッセージは、接続が正常に実行されたことを示しています。
Replication bind with GSSAPI auth resumed