A.2. kinit 인증 실패 조사
일반 문제 해결
- IdM 클라이언트에서
kinit
프로세스의 디버그 메시지를 표시합니다.$ KRB5_TRACE=/dev/stdout kinit admin
- 다음을 확인합니다.
- 클라이언트 전달 레코드는 서버와 영향을 받는 클라이언트의 올바른 항목입니다.
# host client_fully_qualified_domain_name
- 서버 전달 레코드가 서버와 영향을 받는 클라이언트 모두 올바릅니다.
# host server_fully_qualified_domain_name
# host server_IP_address
host server_IP_address 명령은 끝에 후행 점이 있는 정규화된 호스트 이름을 반환해야 합니다. 예를 들면 다음과 같습니다.server.example.com.
- 클라이언트에서
/etc/hosts
파일을 검토하고 다음을 확인합니다.- 파일의 모든 서버 항목이 올바른지
- 모든 서버 항목에서 첫 번째 이름은 정규화된 도메인 이름입니다.
“/etc/hosts
파일” 참조하십시오. - 2.1.5절. “호스트 이름 및 DNS 구성” 의 다른 조건을 충족하는지 확인하십시오.
- IdM 서버에서>-<
5kdc
및dirsrv
서비스가 실행 중인지 확인합니다.# systemctl status krb5kdc # systemctl status dirsrv.target
- Kerberos KMS(키 배포 센터) 로그:
/var/log/krb5kdc.log
를 검토합니다. - ScanSettings가
/etc/krb5.conf
파일에 하드 코딩되는 경우 (파일이 명시적으로 10.0.0.1 지시문을 설정하고dns_lookup_kdc = false
설정을 사용하는 경우 각 마스터 서버에서 ipactl status 명령을 사용합니다. 명령을 통해 각 서버에서 KDC로 나열된 IdM 서비스의 상태를 확인합니다.# ipactl status Directory Service: RUNNING krb5kdc Service: RUNNING kadmin Service: RUNNING named Service: RUNNING httpd Service: RUNNING ipa-custodia Service: RUNNING ntpd Service: RUNNING pki-tomcatd Service: RUNNING ipa-otpd Service: RUNNING ipa-dnskeysyncd Service: RUNNING ipa: INFO: The ipactl command was successful
영역에 대한 오류 문제 해결 Cannot find#177 for realm
초기 인증 정보를 가져오는 동안 Cannot findECDHE for realm "EXAMPLE.COM"
이라는 오류와 함께 kinit
인증이 실패하면, servers에서 실행되고 있지 않거나 클라이언트가 DNS를 잘못 구성했음을 나타냅니다. 이 경우 다음 단계를 수행하십시오.
/etc/krb5.conf
파일(dns_lookup_kdc = true
설정)에서 DNS 검색을 활성화하면dig
유틸리티를 사용하여 다음 레코드를 확인할 수 있는지 확인합니다.$ dig -t TXT _kerberos.ipa.example.com $ dig -t SRV _kerberos._udp.ipa.example.com $ dig -t SRV _kerberos._tcp.ipa.example.com
다음 예제에서는 위의dig
명령 중 하나가 다음 출력과 함께 실패했습니다.; <<>> DiG 9.11.0-P2-RedHat-9.11.0-6.P2.fc25 <<>> -t SRV _kerberos._tcp.ipa.server.example ;; global options: +cmd ;; connection timed out; no servers could be reached
출력에서named
서비스가 마스터 서버에서 실행되지 않았음을 나타냅니다.- DNS 조회에 실패하면 A.6절. “DNS 문제 해결” 의 단계를 계속 진행합니다.
관련 정보
- 다양한 ID 관리 로그 파일에 대한 설명은 C.2절. “ID 관리 로그 파일 및 디렉토리” 을 참조하십시오.