検索
サポートコンソール開発者トライアルの開始お問い合わせ

A.2. kinit 認証の失敗の調査

download PDF

一般的なトラブルシューティング

  1. IdM クライアントで、kinit プロセスからのデバッグメッセージを表示します。 
    $ KRB5_TRACE=/dev/stdout kinit admin
  2. 以下を確認します。
    • サーバーと、影響を受けるクライアントの両方で、クライアント転送レコードが正しいこと。 
      # host client_fully_qualified_domain_name
    • サーバーと、影響を受けるクライアントの両方で、サーバー転送レコードが正しいこと。 
      # host server_fully_qualified_domain_name
      # host server_IP_address
      host server_IP_address は、完全修飾のホスト名を返します。ホスト名の末尾にはピリオドを使用します。以下に例を示します。 
      server.example.com.
  3. クライアントで /etc/hosts ファイルを確認し、以下を確認します。
    • ファイル内のすべてのサーバーエントリーが正しいこと。
    • すべてのサーバーエントリーで、最初の名前は完全修飾ドメイン名となっていること。
    /etc/hosts ファイル」も参照してください。
  4. 「ホスト名および DNS 設定」 の他の条件を満たしていることを確認してください。
  5. IdM サーバーで、krb5kdc サービスおよび dirsrv サービスが実行していることを確認します。 
    # systemctl status krb5kdc
# systemctl status dirsrv.target
  6. Kerberos キー配布センター (KDC) のログを確認します (/var/log/krb5kdc.log)。
  7. KDC が、/etc/krb5.conf ファイルにハードコードされている場合 (ファイルが明示的に KDC ディレクティブを設定し、dns_lookup_kdc = false 設定を使用する場合) は、マスターサーバーごとに ipactl のステータス コマンドを使用します。コマンドで、KDC としてリスト表示されている各サーバーの IdM サービスのステータスを確認します。 
    # ipactl status
Directory Service: RUNNING
krb5kdc Service: RUNNING
kadmin Service: RUNNING
named Service: RUNNING
httpd Service: RUNNING
ipa-custodia Service: RUNNING
ntpd Service: RUNNING
pki-tomcatd Service: RUNNING
ipa-otpd Service: RUNNING
ipa-dnskeysyncd Service: RUNNING
ipa: INFO: The ipactl command was successful

Cannot find KDC for realm エラーのトラブルシューティング

kinit 認証が Cannot find KDC for realm "EXAMPLE.COM" while getting initial credentials というエラーで失敗した場合は、KDC がサーバーで実行していないか、クライアントが DNS を誤って設定していることを示しています。このような状況では、以下の手順を試してください。
  1. /etc/krb5.conf ファイルで DNS 検出が有効になっている場合 (dns_lookup_kdc = true 設定) は、dig ユーティリティーを使用して、以下のレコードが解決可能かどうかを確認します。 
    $ dig -t TXT _kerberos.ipa.example.com
$ dig -t SRV _kerberos._udp.ipa.example.com
$ dig -t SRV _kerberos._tcp.ipa.example.com
    以下の例では、上記の dig コマンドのいずれかが失敗しています。 
    ; <<>> DiG 9.11.0-P2-RedHat-9.11.0-6.P2.fc25 <<>> -t SRV _kerberos._tcp.ipa.server.example
;; global options: +cmd
;; connection timed out; no servers could be reached
    この出力は、名前 サービスがマスターサーバーで実行していないことを示していました。
  2. DNS ルックアップが失敗した場合は、「DNS のトラブルシューティング」 の手順に進みます。

関連情報

Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.