Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

A.2. kinit 인증 실패 조사

일반 문제 해결

  1. IdM 클라이언트에서 kinit 프로세스의 디버그 메시지를 표시합니다. 
    $ KRB5_TRACE=/dev/stdout kinit admin
  2. 다음을 확인합니다.
    • 클라이언트 전달 레코드는 서버와 영향을 받는 클라이언트의 올바른 항목입니다. 
      # host client_fully_qualified_domain_name
    • 서버 전달 레코드가 서버와 영향을 받는 클라이언트 모두 올바릅니다. 
      # host server_fully_qualified_domain_name
      # host server_IP_address
      host server_IP_address 명령은 끝에 후행 점이 있는 정규화된 호스트 이름을 반환해야 합니다. 예를 들면 다음과 같습니다. 
      server.example.com.
  3. 클라이언트에서 /etc/hosts 파일을 검토하고 다음을 확인합니다.
    • 파일의 모든 서버 항목이 올바른지
    • 모든 서버 항목에서 첫 번째 이름은 정규화된 도메인 이름입니다.
    /etc/hosts 파일” 참조하십시오.
  4. 2.1.5절. “호스트 이름 및 DNS 구성” 의 다른 조건을 충족하는지 확인하십시오.
  5. IdM 서버에서>-< 5kdcdirsrv 서비스가 실행 중인지 확인합니다. 
    # systemctl status krb5kdc
# systemctl status dirsrv.target
  6. Kerberos KMS(키 배포 센터) 로그: /var/log/krb5kdc.log 를 검토합니다.
  7. ScanSettings가 /etc/krb5.conf 파일에 하드 코딩되는 경우 (파일이 명시적으로 10.0.0.1 지시문을 설정하고 dns_lookup_kdc = false 설정을 사용하는 경우 각 마스터 서버에서 ipactl status 명령을 사용합니다. 명령을 통해 각 서버에서 KDC로 나열된 IdM 서비스의 상태를 확인합니다. 
    # ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
ntpd Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful

영역에 대한 오류 문제 해결 Cannot find#177 for realm

초기 인증 정보를 가져오는 동안 Cannot findECDHE for realm "EXAMPLE.COM" 이라는 오류와 함께 kinit 인증이 실패하면, servers에서 실행되고 있지 않거나 클라이언트가 DNS를 잘못 구성했음을 나타냅니다. 이 경우 다음 단계를 수행하십시오.
  1. /etc/krb5.conf 파일( dns_lookup_kdc = true 설정)에서 DNS 검색을 활성화하면 dig 유틸리티를 사용하여 다음 레코드를 확인할 수 있는지 확인합니다. 
    $ dig -t TXT _kerberos.ipa.example.com
$ dig -t SRV _kerberos._udp.ipa.example.com
$ dig -t SRV _kerberos._tcp.ipa.example.com
    다음 예제에서는 위의 dig 명령 중 하나가 다음 출력과 함께 실패했습니다. 
    ; <<>> DiG 9.11.0-P2-RedHat-9.11.0-6.P2.fc25 <<>> -t SRV _kerberos._tcp.ipa.server.example
;; global options: +cmd
;; connection timed out; no servers could be reached
    출력에서 named 서비스가 마스터 서버에서 실행되지 않았음을 나타냅니다.
  2. DNS 조회에 실패하면 A.6절. “DNS 문제 해결” 의 단계를 계속 진행합니다.

관련 정보