常見的 Kerberos 錯誤消息

問題:All authentication systems disabled; connection refused
原因:此版本的 rlogind 不支持任何驗證機制。
解決方法:請確保調用的 rlogind 帶有 -k 選項。

問題:Another authentication mechanism must be used to access this host
原因:無法進行驗證。
解決方法:請確保客戶機使用 Kerberos V5 機制進行驗證。

問題:Authentication negotiation has failed, which is required for encryption. Good bye.
原因:無法與服務器協商驗證。
解決方法:請通過使用 toggle authdebug 命令調用 telnet 命令，啟動驗證調試並查看調試消息以獲取更多線索。另外，請確保具有有效憑證。

問題:Bad krb5 admin server hostname while initializing kadmin interface
原因:在 krb5.conf 文件中為 admin_server 配置了無效的主機名。
解決方法:請確保在 krb5.conf 文件的 admin_server 行中為主 KDC 指定了正確的主機名。

問題:Bad lifetime value
原因:提供的生命周期值無效或格式不正確。
解決方法:請確保提供的值與 kinit(1) 手冊頁中的“時間格式”一節相符。

問題:Bad start time value
原因:提供的開始時間值無效或格式不正確。
解決方法:請確保提供的值與 kinit(1) 手冊頁中的“時間格式”一節相符。

問題:Cannot contact any KDC for requested realm
原因:請求的領域中沒有 KDC 響應。
解決方法:請確保至少可訪問一個 KDC（主 KDC 或從 KDC），或 krb5kdc 守護進程正在 KDC 上運行。有關已配置 KDC 的列表 (kdc = kdc-name)，請檢查 /etc/krb5/krb5.conf 文件。

問題:Cannot determine realm for host
原因:Kerberos 無法確定主機的領域名稱。
解決方法:請確保存在缺省領域名稱，或在 Kerberos 配置文件 (krb5.conf) 中設置了域名映射。

問題:Cannot find KDC for requested realm
原因:在請求的領域中找不到 KDC。
解決方法:請確保 Kerberos 配置文件 (krb5.conf) 在 realm 部分中指定了 KDC。

問題:cannot initialize realm realm_name
原因:KDC 可能沒有存儲文件。
解決方法:請確保 KDC 具有存儲文件。否則，請使用 kdb5_util 命令創建一個存儲文件，然后嘗試重新啟動 krb5kdc 命令。

問題:Cannot resolve KDC for requested realm
原因:Kerberos 無法確定該領域的任何 KDC。
解決方法:請確保 Kerberos 配置文件 (krb5.conf) 在 realm 部分中指定了 KDC。

問題:Cannot reuse password
原因:指定的口令之前已被此主體使用。
解決方法:請選擇一個以前尚未選用的口令，至少不要是 KDC 數據庫中為每個主體保存的那些口令。此策略由該主體的策略強制執行。

問題:Can't get forwarded credentials
原因:無法建立憑證轉發。
解決方法:請確保主體具有可轉發的憑證。

問題:Can't open/find Kerberos configuration file
原因:Kerberos 配置文件 (krb5.conf) 不可用。
解決方法:請確保 krb5.conf 文件在正確的位置中可用，並且具有正確的權限。此文件應可由 root 寫入，並可由其他用戶讀取。

問題:Client did not supply required checksum--connection rejected
原因:未與客戶機協商使用校驗和進行驗證。客戶機使用的可能是不支持初始連接支持的早期 Kerberos V5 協議。
解決方法:請確保客戶機使用的是支持初始連接支持的 Kerberos V5 協議。

問題:Client/server realm mismatch in initial ticket request
原因:在初始票證請求中，客戶機與服務器之間的領域不匹配。
解決方法:請確保正在與您通信的服務器與客戶機位於同一領域中，或確保領域配置正確。

問題:Client or server has a null key
原因:主體擁有空密鑰。
解決方法:請使用 kadmin 的 cpw 命令修改主體，使其擁有非空密鑰。

問題:Communication failure with server while initializing kadmin interface
原因:為管理服務器指定的主機（也稱為主 KDC）沒有運行 kadmind 守護進程。
解決方法:請確保為主 KDC 指定正確的主機名。如果指定了正確的主機名，請確保 kadmind 正在指定的主 KDC 上運行。

問題:Credentials cache file permissions incorrect
原因:您對憑證高速緩存 (/tmp/krb5cc_ uid) 沒有相應的讀寫權限。
解決方法:請確保具有對憑證高速緩存的讀寫權限。

問題:Credentials cache I/O operation failed XXX
原因:Kerberos 在向系統的憑證高速緩存 (/tmp/krb5cc_uid) 進行寫入時出現問題。
解決方法:請使用 df 命令確保尚未刪除憑證高速緩存，並且設備中還有剩余空間。

問題:Decrypt integrity check failed
原因:您的票證可能無效。
解決方法:請檢驗下列兩種情況：
    1> 確保您的憑證有效。請使用 kdestroy 銷毀票證，然后使用 kinit 創建新票證。
    2> 確保目標主機的密鑰表文件的服務密鑰版本正確。請使用 kadmin 查看 Kerberos 數據庫中服務主體（例如 host/FQDN-hostname）的密鑰版本號。另外，請在目標主機上使用 klist -k，以確保該主機具有相同的密鑰版本號。

問題:Encryption could not be enabled. Goodbye.
原因:無法與服務器協商加密。
解決方法:請通過使用 toggle encdebug 命令調用 telnet 命令，啟動驗證調試並查看調試消息以獲取更多線索。

問題:failed to obtain credentials cache
原因:在 kadmin 初始化過程中，kadmin 嘗試獲取 admin 主體的憑證時失敗。
解決方法:請確保在執行 kadmin 時使用正確的主體和口令。

問題:Field is too long for this implementation
原因:基於 Kerberos 的應用程序所發送的消息太長。如果傳輸協議是 UDP，則可能會生成此錯誤。UDP 的缺省最大消息長度是 65535 字節。此外，對通過 Kerberos 服務發送的協議消息中的單個字段也有限制。
解決方法:請檢驗是否已在 KDC 服務器的 /etc/krb5/kdc.conf 文件中將傳輸協議限制為 UDP。

問題:GSS-API (or Kerberos) error
原因:此消息是通用的 GSS-API 或 Kerberos 錯誤消息，可能由幾種不同的問題所導致。
解決方法:請檢查 /var/krb5/kdc.log 文件，查找出現此錯誤時記錄的更具體的錯誤消息。

問題:Hostname cannot be canonicalized
原因:Kerberos 無法設置全限定主機名。
解決方法:請確保在 DNS 中定義了該主機名，並且主機名至地址的映射和地址至主機名的映射保持一致。

問題:Illegal cross-realm ticket
原因:發送的票證所跨的領域不正確。領域可能未設置正確的信任關系。
解決方法:請確保使用的領域具有正確的信任關系。

問題:Improper format of Kerberos configuration file
原因:Kerberos 配置文件包含無效項。
解決方法:請確保 krb5.conf 文件中的所有關系后面都跟有 "=" 符號和值。另外，請檢驗每個子段中的括號是否成對出現。

問題:Inappropriate type of checksum in message
原因:消息中包含無效的校驗和類型。
解決方法:請檢查在 krb5.conf 和 kdc.conf 文件中指定的有效校驗和類型。

問題:Incorrect net address
原因:網絡地址不匹配。正在轉發的票證中的網絡地址與處理該票證的網絡地址不同。轉發票證時可能會出現此消息。
解決方法:請確保網絡地址正確。請使用 kdestroy 銷毀票證，然后使用 kinit 創建新票證。

問題:Invalid credential was supplied/ Service key not available
原因:憑證高速緩存中的服務票證可能不正確。
解決方法:請在嘗試使用此服務之前，銷毀當前憑證高速緩存並重新運行 kinit。

問題:Invalid flag for file lock mode
原因:出現內部 Kerberos 錯誤。
解決方法:請報告錯誤。

問題:Invalid message type specified for encoding
原因:Kerberos 無法識別基於 Kerberos 的應用程序發送的消息類型。
解決方法:如果使用的基於 Kerberos 的應用程序是由您的站點或供應商開發的，請確保此應用程序正確使用 Kerberos。

問題:Invalid number of character classes
原因:指定的主體口令沒有按照主體策略的強制要求包含足夠的口令類。
解決方法:請確保指定的口令包含策略要求的最少口令類數。

問題:KADM err: Memory allocation failure
原因:用於運行 kadmin 的內存不足。
解決方法:請釋放內存，然后再次嘗試運行 kadmin。

問題:KDC can't fulfill requested option
原因:KDC 不允許請求的選項。一種可能是正在請求以后生效或可轉發的選項，而 KDC 不允許這些選項。另一種可能是請求了 TGT 更新，但沒有可更新的 TGT。
解決方法:請確定是要請求 KDC 不允許的選項，還是請求不可用的票證類型。

問題:KDC policy rejects request
原因:KDC 策略不允許該請求。例如，向 KDC 發出的請求中沒有 IP 地址。或者請求了轉發，但 KDC 不允許轉發。
解決方法:請確保使用帶有正確選項的 kinit。如有必要，請修改與主體關聯的策略或更改主體的屬性以允許該請求。通過使用 kadmin，可以修改策略或主體。

問題:KDC reply did not match expectations
原因:KDC 回復未包含期望的主體名稱，或者響應中的其他值不正確。
解決方法:請確保正在與您通信的 KDC 符合 RFC1510，正在發送的請求是 Kerberos V5 請求或該 KDC 可用。

問題:kdestroy: Could not obtain principal name from cache
原因:憑證高速緩存缺失或已損壞。
解決方法:請檢查提供的高速緩存位置是否正確。如有必要，請使用 kinit 刪除 TGT 並獲取新的 TGT。

問題:kdestroy: No credentials cache file found while destroying cache
原因:憑證高速緩存 (/tmp/krb5c_ uid) 缺失或已損壞。
解決方法:請檢查提供的高速緩存位置是否正確。如有必要，請使用 kinit 刪除 TGT 並獲取新的 TGT。

問題:kdestroy: TGT expire warning NOT deleted
原因:憑證高速緩存缺失或已損壞。
解決方法:請檢查提供的高速緩存位置是否正確。如有必要，請使用 kinit 刪除 TGT 並獲取新的 TGT。

問題:Kerberos authentication failed
原因:Kerberos 口令不正確，或該口令可能與 UNIX 口令不同步。
解決方法:如果口令不同步，則必須指定其他口令才能完成 Kerberos 驗證。用戶可能會忘記其原始口令。

問題:Kerberos V5 refuses authentication
原因:無法與服務器協商驗證。
解決方法:請通過使用 toggle authdebug 命令調用 telnet 命令，啟動驗證調試並查看調試消息以獲取更多線索。另外，請確保具有有效憑證。

問題:Key table entry not found
原因:網絡應用程序服務器的密鑰表文件中不存在服務主體項。
解決方法:請將相應的服務主體添加到服務器的密鑰表文件中，以便該文件可提供基於 Kerberos 的服務。

問題:Key version number for principal in key table is incorrect
原因:密鑰表文件中主體的密鑰版本與 Kerberos 數據庫中的版本不同。可能已更改了服務密鑰，也可能正在使用舊服務票證。
解決方法:如果服務密鑰已被更改（例如通過使用 kadmin），則需要提取新密鑰並將其存儲在正在運行該服務的主機的密鑰表文件中。
或者，您也可能正在使用具有較舊密鑰的舊服務票證。在這種情況下，可能需要運行 kdestroy 命令，然后再次運行 kinit 命令。

問題:kinit: gethostname failed
原因:本地網絡配置中的錯誤導致 kinit 失敗。
解決方法:請確保主機配置正確。

問題:login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1
原因:Kerberos PAM 模塊可能缺失，也可能該模塊不是有效的可執行二進制文件。
解決方法:請確保 Kerberos PAM 模塊位於 /usr/lib/security 目錄中，並且是有效的可執行二進制文件。另外，請確保 /etc/pam.conf 文件包含 pam_krb5.so.1 的正確路徑。

問題:Looping detected inside krb5_get_in_tkt
原因:Kerberos 多次嘗試獲取初始票證，但均失敗。
解決方法:請確保至少有一個 KDC 正在響應驗證請求。

問題:Master key does not match database
原因:未從包含主密鑰的數據庫創建裝入的數據庫轉儲。主密鑰位於 /var/krb5/.k5.REALM 中。
解決方法:請確保裝入的數據庫轉儲中的主密鑰與 /var/krb5/.k5. REALM 中的主密鑰匹配。

問題:Matching credential not found
原因:未找到與請求匹配的憑證。憑證高速緩存中沒有請求需要的憑證。
解決方法:請使用 kdestroy 銷毀票證，然后使用 kinit 創建新票證。

問題:Message out of order
原因:使用順序保密性發送的消息到達時順序混亂。某些消息可能已在傳輸過程中丟失。
解決方法:應重新初始化 Kerberos 會話。

問題:Message stream modified
原因:計算出的校驗和與消息校驗和不匹配。消息在傳輸過程中可能已被修改，這表明存在安全泄露。
解決方法:請確保消息在網絡中正確發送。由於此消息還可表明消息在發送過程中被篡改，因此請使用 kdestroy 銷毀票證，然后重新初始化所使用的 Kerberos 服務。

問題:No credentials cache file found
原因:Kerberos 無法找到憑證高速緩存 (/tmp/krb5cc_uid)。
解決方法:請確保該憑證文件存在並且可以讀取。否則，請再次嘗試執行 kinit。

問題:No credentials were supplied, or the credentials were unavailable or inaccessible/No credential cache found
原因:用戶的憑證高速緩存不正確或不存在。
解決方法:用戶應在嘗試啟動服務之前運行 kinit。

問題:No credentials were supplied, or the credentials were unavailable or inaccessible/No principal in keytab matches desired name
原因:嘗試驗證服務器時出現錯誤。
解決方法:請確保主機或服務主體位於服務器的密鑰表文件中。

問題:Operation requires “privilege” privilege
原因:正在使用的 admin 主體未在 kadm5.acl 文件中配置相應的權限。
解決方法:請使用具有相應權限的主體。或者，請通過修改 kadm5.acl 文件來配置所使用的主體，使其具有相應的權限。通常，名稱中包含 /admin 的主體具有相應的權限。

問題:PAM-KRB5 (auth): krb5_verify_init_creds failed: Key table entry not found
原因:遠程應用程序嘗試在本地 /etc/krb5/krb5.keytab 文件中讀取主機的服務主體，但不存在任何主體。
解決方法:請將主機的服務主體添加到主機的密鑰表文件中。

問題:Password is in the password dictionary
原因:指定的口令位於正在使用的口令字典中。您選擇的口令不適合用作口令。
解決方法:請選用包含混合口令類的口令。

問題:Permission denied in replay cache code
原因:無法打開系統的重放高速緩存。首次運行服務器時所使用的用戶 ID 可能與當前的用戶 ID 不同。
解決方法:請確保重放高速緩存具有相應的權限。重放高速緩存存儲在運行基於 Kerberos 的服務器應用程序的主機上。對於非 root 用戶，重放高速緩存文件稱為 /var/krb5/rcache/rc_service_name_ uid。對於 root 用戶，重放高速緩存文件稱為 /var/krb5/rcache/root/rc_ service_name。

問題:Protocol version mismatch
原因:很可能向 KDC 發送了 Kerberos V4 請求。Kerberos 服務僅支持 Kerberos V5 協議。
解決方法:請確保應用程序使用的是 Kerberos V5 協議。

問題:Request is a replay
原因:請求已發送到此服務器並進行了處理。票證可能已被盜用，並且其他用戶正在嘗試重新使用這些票證。
解決方法:請等待幾分鍾，然后重新發出請求。

問題:Requested principal and ticket don't match
原因:您正在連接的服務主體與您所擁有的服務票證不匹配。
解決方法:請確保 DNS 正常運行。如果使用的是其他供應商的軟件，請確保該軟件使用的主體名稱正確。

問題:Requested protocol version not supported
原因:很可能向 KDC 發送了 Kerberos V4 請求。Kerberos 服務僅支持 Kerberos V5 協議。
解決方法:請確保應用程序使用的是 Kerberos V5 協議。

問題:Server refused to negotiate authentication, which is required for encryption. Good bye.
原因:遠程應用程序無法接受或已配置為不接受來自客戶機的 Kerberos 驗證。
解決方法:請提供可以協商驗證的遠程應用程序，或配置該應用程序以使用相應標志來打開驗證。

問題:Server refused to negotiate encryption. Good bye.
原因:無法與服務器協商加密。
解決方法:請通過使用 toggle encdebug 命令調用 telnet 命令，啟動驗證調試並查看調試消息以獲取更多線索。

問題:Server rejected authentication (during sendauth exchange)
原因:您正在嘗試與其通信的服務器拒絕驗證。此錯誤通常出現在 Kerberos 數據庫傳播過程中。一些常見的原因可能是 kpropd.acl 文件、DNS 或密鑰表文件存在問題。
解決方法:如果在運行 kprop 以外的應用程序時收到此錯誤，請檢查服務器的密鑰表文件是否正確。

問題:The ticket isn't for us/   Ticket/authenticator don't match
原因:票證與驗證者不匹配。請求中的主體名稱可能與服務主體的名稱不匹配，因為發送票證使用的是主體的 FQDN 名稱，而服務期望非 FQDN 名稱，反之亦然。
解決方法:如果在運行 kprop 以外的應用程序時收到此錯誤，請檢查服務器的密鑰表文件是否正確。

問題:Ticket expired
原因:票證時間已到期。
解決方法:請使用 kdestroy 銷毀票證，然后使用 kinit 創建新票證。

問題:Ticket is ineligible for postdating
原因:主體不允許其票證以后生效。
解決方法:請使用 kadmin 修改主體以允許以后生效。

問題:Ticket not yet valid
原因:以后生效的票證仍然無效。
解決方法:請使用正確的日期創建新票證，或等待當前票證生效。

問題:Truncated input file detected
原因:操作中使用的數據庫轉儲文件不是完整的轉儲文件。
解決方法:請重新創建轉儲文件，或使用其他數據庫轉儲文件。

問題:Unable to securely authenticate user ... exit
原因:無法與服務器協商驗證。
解決方法:請通過使用 toggle authdebug 命令調用 telnet 命令，啟動驗證調試並查看調試消息以獲取更多線索。另外，請確保具有有效憑證。

問題:Wrong principal in request
原因:票證中包含無效的主體名稱。此錯誤可能表明 DNS 或 FQDN 存在問題。
解決方法:請確保服務主體與票證中的主體匹配。