B.3. Identity Management クライアント
本セクションでは、Red Hat Enterprise Linux における IdM で発生する一般的なクライアントの問題を説明します。
関連情報:
B.3.1. 外部 DNS の使用時にクライアントが逆引き参照を解決できない
外部 DNS サーバーが、IdM サーバーの間違ったホスト名を返します。IdM サーバーに関連する次のエラーが、Kerberos データベースに表示されます。
Jun 30 11:11:48 server1 krb5kdc[1279](info): AS_REQ (4 etypes {18 17 16 23}) 192.0.2.1: NEEDED_PREAUTH: admin EXAMPLE COM for krbtgt/EXAMPLE COM EXAMPLE COM, Additional pre-authentication required Jun 30 11:11:48 server1 krb5kdc[1279](info): AS_REQ (4 etypes {18 17 16 23}) 192.0.2.1: ISSUE: authtime 1309425108, etypes {rep=18 tkt=18 ses=18}, admin EXAMPLE COM for krbtgt/EXAMPLE COM EXAMPLE COM Jun 30 11:11:49 server1 krb5kdc[1279](info): TGS_REQ (4 etypes {18 17 16 23}) 192.0.2.1: UNKNOWN_SERVER: authtime 0, admin EXAMPLE COM for HTTP/server1.wrong.example.com@EXAMPLE.COM, Server not found in Kerberos database
エラー内容:
外部 DNS ネームサーバーが IdM サーバーの間違ったホスト名を返すか、まったく応答を返しません。
解決方法:
- DNS 設定を確認し、IdM が使用する DNS ドメインが適切に委譲されていることを確認します。詳細は「ホスト名および DNS 設定」を参照してください。
- 逆引き (PTR) DNS レコードの設定を確認します。詳細は33章DNS の管理を参照してください。
B.3.2. クライアントは DNS ゾーンに追加されません。
ipa-client-install
ユーティリティーを実行していると、nsupdate
ユーティリティーがクライアントを DNS ゾーンに追加できません。
エラー内容:
DNS 設定が正しくありません。
解決方法:
- 親ゾーンから IdM への DNS 委譲の設定を確認します。詳細は「ホスト名および DNS 設定」を参照してください。
- IdM ゾーンで動的更新が許可されていることを確認します。詳細は「ダイナミック DNS 更新の有効化」を参照してください。
IdM での DNS の管理の詳細は、「逆引き DNS ゾーンの管理」 を参照してください。Red Hat Enterprise Linux で DNS を管理する方法は、『ネットワークガイド』 のゾーンファイルの編集を参照してください。
B.3.3. クライアント接続の問題
ユーザーがマシンにログインできません。getent passwd admin コマンドなどを使用してユーザーおよびグループインフォメーションにアクセスしようとすると、失敗します。
エラー内容:
クライアント認証の問題は、多くの場合、SSSD (System Security Services Daemon) サービスの問題を示しています。
解決方法:
/var/log/sssd/
ディレクトリーの SSSD ログを確認します。ディレクトリーには、sssd_example.com.log
などの DNS ドメインのログファイルが含まれています。
ログに十分な情報が含まれていない場合は、ログレベルを上げます。
/etc/sssd/sssd.conf
で[domain/example.com]
を探します。debug_level
を調整して、詳細をログに記録します。debug_level = 9
sssd
サービスを再起動します。# systemctl start sssd
sssd_example.com. log
を再度確認します。このファイルには、より多くのエラーメッセージが含まれるようになりました。