A.5. Kerberos エラー
Kerberos エラーは、kinit または同様のクライアントを使用してレルムへの接続を試みると頻繁に行われます。Kerberos に関する情報は、まず Kerberos の man ページ、ヘルプファイル、その他のリソースを確認します。
重要
Identity Management には、Kerberos ポリシーの管理に使用する独自のコマンドラインツールがあります。IdM Kerberos 設定の管理には、kadmin または kadmin.local は 使わないで ください。
Kerberos エラーログ情報を検索する場所は複数あります。
- kinit の問題またはその他の Kerberos サーバーの問題は、
/var/log/krb5kdc.logの KDC ログインを参照してください。 - IdM 固有のエラーは、
/var/log/httpd/error_logを参照してください。
サーバー用の IdM ログと、IdM 関連のサービスの両方が「IdM サーバーログの確認」で説明されています。
A.5.1. GSS-API の使用時に SSH で接続する場合の問題
DNS 設定に誤った逆引き DNS エントリーがある場合は、SSH を使用して IdM リソースにログインできない可能性があります。SSH がセキュリティーメソッドとして GSS-API を使用してリソースへの接続を試みると、GSS-API は最初に DNS レコードをチェックします。レコードが正しくないため、SSH がリソースを見つけることができません。
SSH 設定で逆引き DNS ルックアップを無効にすることができます。SSH は逆引き DNS レコードを使用するのではなく、指定のユーザー名を GSS-API に直接渡します。
SSH で逆引き DNS ルックアップを無効にするには、
GSSAPITrustDNS ディレクティブを追加または編集し、値を no に設定します。
# vim /etc/ssh/ssh_config GSSAPITrustDNS no
