本节按字母顺序 (N-Z) 列出了 Kerberos 命令、Kerberos 守护进程、PAM 框架、GSS 接口、NFS 服务和 Kerberos 库的常见错误消息。
No credentials cache file found
原因:
Kerberos 无法找到凭证高速缓存 (/tmp/krb5cc_uid)。
解决方法:
请确保该凭证文件存在并且可以读取。否则,请再次尝试执行 kinit。
No credentials were supplied, or the credentials were unavailable or inaccessible
No credential cache found
原因:
用户的凭证高速缓存不正确或不存在。
解决方法:
用户应在尝试启动服务之前运行 kinit。
No credentials were supplied, or the credentials were unavailable or inaccessible
No principal in keytab matches desired name
原因:
尝试验证服务器时出现错误。
解决方法:
请确保主机或服务主体位于服务器的密钥表文件中。
Operation requires “privilege” privilege
原因:
正在使用的 admin 主体未在 kadm5.acl 文件中配置相应的权限。
解决方法:
请使用具有相应权限的主体。或者,请通过修改 kadm5.acl 文件来配置所使用的主体,使其具有相应的权限。通常,名称中包含 /admin 的主体具有相应的权限。
PAM-KRB5 (auth): krb5_verify_init_creds failed: Key table entry not found
原因:
远程应用程序尝试在本地 /etc/krb5/krb5.keytab 文件中读取主机的服务主体,但不存在任何主体。
解决方法:
请将主机的服务主体添加到主机的密钥表文件中。
Password is in the password dictionary
原因:
指定的口令位于正在使用的口令字典中。您选择的口令不适合用作口令。
解决方法:
请选用包含混合口令类的口令。
Permission denied in replay cache code
原因:
无法打开系统的重放高速缓存。首次运行服务器时所使用的用户 ID 可能与当前的用户 ID 不同。
解决方法:
请确保重放高速缓存具有相应的权限。重放高速缓存存储在运行基于 Kerberos 的服务器应用程序的主机上。对于非 root 用户,重放高速缓存文件称为 /var/krb5/rcache/rc_service_name_ uid。对于 root 用户,重放高速缓存文件称为 /var/krb5/rcache/root/rc_service_name。
Protocol version mismatch
原因:
很可能向 KDC 发送了 Kerberos V4 请求。Kerberos 服务仅支持 Kerberos V5 协议。
解决方法:
请确保应用程序使用的是 Kerberos V5 协议。
Request is a replay
原因:
请求已发送到此服务器并进行了处理。票证可能已被盗用,并且其他用户正在尝试重新使用这些票证。
解决方法:
请等待几分钟,然后重新发出请求。
Requested principal and ticket don't match
原因:
您正在连接的服务主体与您所拥有的服务票证不匹配。
解决方法:
请确保 DNS 正常运行。如果使用的是其他供应商的软件,请确保该软件使用的主体名称正确。
Requested protocol version not supported
原因:
很可能向 KDC 发送了 Kerberos V4 请求。Kerberos 服务仅支持 Kerberos V5 协议。
解决方法:
请确保应用程序使用的是 Kerberos V5 协议。
Server refused to negotiate authentication, which is required for encryption. Good bye.
原因:
远程应用程序无法接受或已配置为不接受来自客户机的 Kerberos 验证。
解决方法:
请提供可以协商验证的远程应用程序,或配置该应用程序以使用相应标志来打开验证。
Server refused to negotiate encryption. Good bye.
原因:
无法与服务器协商加密。
解决方法:
请通过使用 toggle encdebug 命令调用 telnet 命令,启动验证调试并查看调试消息以获取更多线索。
Server rejected authentication (during sendauth exchange)
原因:
您正在尝试与其通信的服务器拒绝验证。此错误通常出现在 Kerberos 数据库传播过程中。一些常见的原因可能是 kpropd.acl 文件、DNS 或密钥表文件存在问题。
解决方法:
如果在运行 kprop 以外的应用程序时收到此错误,请检查服务器的密钥表文件是否正确。
The ticket isn't for us
Ticket/authenticator don't match
原因:
票证与验证者不匹配。请求中的主体名称可能与服务主体的名称不匹配,因为发送票证使用的是主体的 FQDN 名称,而服务期望非 FQDN 名称,反之亦然。
解决方法:
如果在运行 kprop 以外的应用程序时收到此错误,请检查服务器的密钥表文件是否正确。
Ticket expired
原因:
票证时间已到期。
解决方法:
请使用 kdestroy 销毁票证,然后使用 kinit 创建新票证。
Ticket is ineligible for postdating
原因:
主体不允许其票证以后生效。
解决方法:
请使用 kadmin 修改主体以允许以后生效。
Ticket not yet valid
原因:
以后生效的票证仍然无效。
解决方法:
请使用正确的日期创建新票证,或等待当前票证生效。
Truncated input file detected
原因:
操作中使用的数据库转储文件不是完整的转储文件。
解决方法:
请重新创建转储文件,或使用其他数据库转储文件。
Unable to securely authenticate user ... exit
原因:
无法与服务器协商验证。
解决方法:
请通过使用 toggle authdebug 命令调用 telnet 命令,启动验证调试并查看调试消息以获取更多线索。另外,请确保具有有效凭证。
Wrong principal in request
原因:
票证中包含无效的主体名称。此错误可能表明 DNS 或 FQDN 存在问题。
解决方法:
请确保服务主体与票证中的主体匹配。