A.3. Firefox Kerberos 設定のトラブルシューティング
Kerberos 認証が機能しない場合は、認証プロセスにおける詳細ロギングをオンにします。
- Firefox のすべてのインスタンスを閉じます。
- コマンドプロンプトで、
NSPR_LOG_*変数の値をエクスポートします。export NSPR_LOG_MODULES=negotiateauth:5 export NSPR_LOG_FILE=/tmp/moz.log
- そのシェルから Firefox を再起動し、Kerberos 認証に失敗していた Web サイトを開きます。
/tmp/moz.logファイルで、メッセージの nsNegotiateAuth でエラーメッセージを確認します。
Kerberos 認証では、以下のようなエラーが一般的です。
- 認証情報が見つかりません
-1208550944[90039d0]: entering nsNegotiateAuth::GetNextToken() -1208550944[90039d0]: gss_init_sec_context() failed: Miscellaneous failure No credentials cache found
これは、Kerberos チケットが利用できないことを意味します (つまり、有効期限が切れたか、生成されていません)。これを修正するには、kinit を実行して Kerberos チケットを生成し、Web サイトを再度開きます。- サーバーが Kerberos データベースで見つかりません
-1208994096[8d683d8]: entering nsAuthGSSAPI::GetNextToken() -1208994096[8d683d8]: gss_init_sec_context() failed: Miscellaneous failure Server not found in Kerberos database
これは、ブラウザーが KDC と通信できないことを意味します。通常、これは Kerberos 設定の問題です。正しいエントリーは、ドメインを識別するために/etc/krb5.confファイルの [domain_realm] セクションになければなりません。以下に例を示します。.example.com = EXAMPLE.COM example.com = EXAMPLE.COM
- ログにエラーはありません
- HTTP プロキシーサーバーが Kerberos 認証に必要な HTTP ヘッダーを削除している可能性があります。HTTPS を使用してサイトへの接続を試みます。これにより、要求を変更せずに渡すことができます。
