Red Hat SummitA.2. kinit 認証の失敗の調査
一般的なトラブルシューティング
- IdM クライアントで、
kinitプロセスからのデバッグメッセージを表示します。KRB5_TRACE=/dev/stdout kinit admin
$ KRB5_TRACE=/dev/stdout kinit adminCopy to Clipboard Copied! Toggle word wrap Toggle overflow - 以下を確認します。
- サーバーと、影響を受けるクライアントの両方で、クライアント転送レコードが正しいこと。
host client_fully_qualified_domain_name
# host client_fully_qualified_domain_nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow - サーバーと、影響を受けるクライアントの両方で、サーバー転送レコードが正しいこと。
host server_fully_qualified_domain_name
# host server_fully_qualified_domain_nameCopy to Clipboard Copied! Toggle word wrap Toggle overflow host server_IP_address
# host server_IP_addressCopy to Clipboard Copied! Toggle word wrap Toggle overflow host server_IP_address は、完全修飾のホスト名を返します。ホスト名の末尾にはピリオドを使用します。以下に例を示します。server.example.com.
server.example.com.Copy to Clipboard Copied! Toggle word wrap Toggle overflow
- クライアントで
/etc/hostsファイルを確認し、以下を確認します。- ファイル内のすべてのサーバーエントリーが正しいこと。
- すべてのサーバーエントリーで、最初の名前は完全修飾ドメイン名となっていること。
「/etc/hostsファイル」も参照してください。 - 「ホスト名および DNS 設定」 の他の条件を満たしていることを確認してください。
- IdM サーバーで、
krb5kdcサービスおよびdirsrvサービスが実行していることを確認します。systemctl status krb5kdc systemctl status dirsrv.target
# systemctl status krb5kdc # systemctl status dirsrv.targetCopy to Clipboard Copied! Toggle word wrap Toggle overflow - Kerberos キー配布センター (KDC) のログを確認します (
/var/log/krb5kdc.log)。 - KDC が、
/etc/krb5.confファイルにハードコードされている場合 (ファイルが明示的に KDC ディレクティブを設定し、dns_lookup_kdc = false設定を使用する場合) は、マスターサーバーごとに ipactl のステータス コマンドを使用します。コマンドで、KDC としてリスト表示されている各サーバーの IdM サービスのステータスを確認します。Copy to Clipboard Copied! Toggle word wrap Toggle overflow
Cannot find KDC for realm エラーのトラブルシューティング
kinit 認証が Cannot find KDC for realm "EXAMPLE.COM" while getting initial credentials というエラーで失敗した場合は、KDC がサーバーで実行していないか、クライアントが DNS を誤って設定していることを示しています。このような状況では、以下の手順を試してください。
/etc/krb5.confファイルで DNS 検出が有効になっている場合 (dns_lookup_kdc = true設定) は、digユーティリティーを使用して、以下のレコードが解決可能かどうかを確認します。dig -t TXT _kerberos.ipa.example.com dig -t SRV _kerberos._udp.ipa.example.com dig -t SRV _kerberos._tcp.ipa.example.com
$ dig -t TXT _kerberos.ipa.example.com $ dig -t SRV _kerberos._udp.ipa.example.com $ dig -t SRV _kerberos._tcp.ipa.example.comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 以下の例では、上記のdigコマンドのいずれかが失敗しています。; <<>> DiG 9.11.0-P2-RedHat-9.11.0-6.P2.fc25 <<>> -t SRV _kerberos._tcp.ipa.server.example ;; global options: +cmd ;; connection timed out; no servers could be reached
; <<>> DiG 9.11.0-P2-RedHat-9.11.0-6.P2.fc25 <<>> -t SRV _kerberos._tcp.ipa.server.example ;; global options: +cmd ;; connection timed out; no servers could be reachedCopy to Clipboard Copied! Toggle word wrap Toggle overflow この出力は、名前サービスがマスターサーバーで実行していないことを示していました。- DNS ルックアップが失敗した場合は、「DNS のトラブルシューティング」 の手順に進みます。
関連情報
- Identity Management のログファイルの詳細は、「Identity Management ログファイルおよびディレクトリー」 を参照してください。
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}