B.4. ログインと認証の問題
B.4.1. ipa
コマンドの実行時の Kerberos GSS 障害
サーバーのインストール直後に、
ipa
コマンドを実行しようとすると、Kerberos エラーが発生します。以下に例を示します。
ipa: ERROR: Kerberos error: ('Unspecified GSS failure. Minor code may provide more information', 851968)/('Decrypt integrity check failed', -1765328353)
エラー内容:
DNS が正しく設定されていません。
解決方法:
DNS 設定を確認します。
- IdM サーバーの DNS 要件については、「ホスト名および DNS 設定」 を参照してください。
- Active Directory 信頼の DNS 要件については、 Windows 統合ガイド の 『DNS およびレルム設定』 を参照してください。
B.4.2. GSS-API の使用時に SSH 接続が失敗する
ユーザーは、SSH を使用して IdM マシンにログインできません。
エラー内容:
SSH が GSS-API をセキュリティー方法として使用して IdM リソースに接続しようとすると、GSS-API が最初に DNS レコードを検証します。SSH の問題は多くの場合、逆引き DNS エントリーが間違っていることが原因で発生します。レコードが正しくないと、SSH が IdM リソースを特定できません。
解決方法:
「ホスト名および DNS 設定」 の説明に従って DNS 設定を確認します。
一時的な回避策として、SSH 設定で逆引き DNS 参照を無効にすることもできます。これを行うには、
/etc/ssh/ssh_config
でGSSAPITrustDNS
を no
に設定します。逆引きの DNS レコードを使用する代わりに、SSH は指定したユーザー名を GSS-API に直接渡します。
B.4.3. 同期されていない OTP トークン
トークンが同期されていないため、OTP を使用した認証に失敗します。
解決方法:
トークンを再同期します。どのユーザーも、トークンの種類、およびトークン設定を変更する権限があるかどうかに関係なく、トークンを再同期できます。
- IdM Web UI で、ログインページで Sync OTP Token をクリックします。
図B.1 OTP トークンの同期
コマンドラインで ipa otptoken-sync コマンドを実行します。 - トークンを再同期するために必要な情報を指定します。たとえば、IdM は、標準パスワードと、トークンにより生成された後続のトークンコード 2 回提示するように求められます。注記再同期は、標準パスワードが期限切れになっても機能します。期限切れのパスワードを使用してトークンを再同期したら、IdM にログインして、パスワードの変更を求めるシステムプロンプトを表示します。
B.4.4. スマートカード認証のタイムアウトエラーメッセージの表示
sssd_pam.log
ファイルおよび sssd_EXAMPLE.COM.log
ファイルには、以下のようなタイムアウトエラーメッセージが含まれます。
Wed Jun 14 18:24:03 2017) [sssd[pam]] [child_handler_setup] (0x2000): Setting up signal handler up for pid [12370] (Wed Jun 14 18:24:03 2017) [sssd[pam]] [child_handler_setup] (0x2000): Signal handler set up for pid [12370] (Wed Jun 14 18:24:08 2017) [sssd[pam]] [pam_initgr_cache_remove] (0x2000): [idmeng] removed from PAM initgroup cache (Wed Jun 14 18:24:13 2017) [sssd[pam]] [p11_child_timeout] (0x0020): Timeout reached for p11_child. (Wed Jun 14 18:24:13 2017) [sssd[pam]] [pam_forwarder_cert_cb] (0x0040): get_cert request failed. (Wed Jun 14 18:24:13 2017) [sssd[pam]] [pam_reply] (0x0200): pam_reply called with result [4]: System error.
エラー内容:
転送されたスマートカードリーダーまたは OCSP (Online Certificate Status Protocol) を使用する場合は、スマートカードでユーザーを認証できるように、デフォルト値の調整が必要になる場合があります。
解決方法:
ユーザーを認証するサーバーおよびクライアントで、
/etc/sssd/sssd.conf
ファイルーを変更します。
[pam]
で、p11_child_timeout
を 60 秒に増やします。[domain/EXAMPLE.COM]
で、krb5_auth_timeout
を 60 秒に増やします。- 証明書で OCSP を使用している場合は、OCSP サーバーに到達可能であることを確認してください。OCSP サーバーに直接到達できない場合は、以下のオプションを
/etc/sssd/sssd.conf
に追加して、プロキシー OCSP サーバーを設定します。certificate_verification = ocsp_default_responder=http://ocsp.proxy.url, ocsp_default_responder_signing_cert=nickname
nickname は、/etc/pki/nssdb/
ディレクトリー内の OCSP 署名証明書のニックネームに置き換えます。これらのオプションの詳細は、sssd.conf(5) の man ページを参照してください。 - SSSD を再起動します。
# systemctl restart sssd.service