17 SASL-GSSAPI

SASL-GSS: eDirectoryからのLDAPサービスプリンシパルキーの読み込みに失敗しました。

原因 ： LDAPサービ ス のプ リ ン シパルオブジ ェ ク ト が作成 さ れてい ません。

原因 ： レルムオブジ ェ ク ト のマ ス タ キーが変更 さ れてい ます。

原因 ： LDAPサービ ス のプ リ ン シパルオブジ ェ ク ト が、 属す る レルムのサブ ツ リ ーで見 つか り ませんで し た。

SASL-GSS: GSSコンテキストの作成に失敗しました。

原因 ： ク ラ イ ア ン ト 、

KDC、 お よ び eDirectory

サーバで、 時間が同期 し てい ません。

原因 ： LDAPサービ ス プ リ ン シパルのキーは、 ケルベ ロ スデー タ ベース で変更 さ れま し たが、

eDirectory

で更新 さ れてい ません。

原因 ： 暗号化 タ イ プがサポー ト さ れてい ません。

SASL GSSAPI: Invalid user FDN = user_FDN

原因 ： ク ラ イ ア ン ト に提供 さ れたユーザ

FDN

が有効ではあ り ません。

SASL GSSAPI: No user DN is associated with principal client_principal_name 原因 ： サブ ツ リ ーの下のユーザオブジ ェ ク ト が、 ケルベ ロ ス プ リ ン シパル名にア タ ッ チ さ れてい ません。

SASL GSSAPI:複数のユーザDNがプリンシパルclient_principal_nameに関連づけられ ています。

原因 ： サブ ツ リ ー下の複数のユーザオブジ ェ ク ト が、 同 じ プ リ ン シパルに関連付け ら れてい ます。

ldap_simple_bind_s:無効なアカウント情報です。major = 1, minor =0

原因 ： 原因は、

KDC

サーバの

ldap

サービ ス プ リ ン シパル と

eDirectory

サーバの

ldap

サービ ス プ リ ン シパルの間で、 バージ ョ ンが一致 し ていない こ と が考え ら れ ます。 こ れは、

keytab

フ ァ イ ルに

ldap

サービ ス プ リ ン シパルキーを取 り 出すたびに、 キーの バージ ョ ンナンバーが増加す る ためです。

操作 ：

次を実行 し ます。

1 バージ ョ ン番号が同期す る よ う に、

eDirectory

サーバでキーを更新 し ます。

2 ク ラ イ ア ン ト でチケ ッ ト を破棄 し ます。

3 プ リ ン シパル用に

TGT

を再度取得 し ます。

4

ldap sasl

バ イ ン ド 操作を実行 し ます。

18 ^その他

Š

97 ページの 「 コ ン テナのバ ッ ク ア ッ プ」

Š

97 ページの 「eDirectory

への繰 り 返 し ロ グ イ ン」

Š

97 ページの 「ユーザオブジ ェ ク ト に対 し て ldapsearch

を実行 し てい る 間にシ ス テ ム エ ラ ー

(-632)

の

NDS

エ ラ ーが発生す る 」

コンテナのバックアップ

ndsbackup

を使用 し なが ら オブジ ェ ク ト を多数

(100

万個程度

)

持つ コ ン テナをバ ッ ク ア ッ プす る には、 コ ン テナ内のオブジ ェ ク ト の リ ス ト を取得 し 、 個々のバ ッ ク ア ッ プ を開始す る ま でにかな り の時間がかか る 可能性があ り ます。

eDirectory への繰り返しログイン

eDirectory

に繰 り 返 し ロ グ イ ンす る 場合、 すべての使用可能な メ モ リ を使用で き ます。

ndsimonitor

を使用 し て ロ グ イ ン更新属性を無効にす る と 、 こ の問題を解決で き ます。

ユーザオブジェクトに対して ldapsearch を実行している間にシステ ムエラー (-632) の NDS エラーが発生する

簡易パ ス ワー ド を使用 し てユーザオブジ ェ ク ト を イ ン ポー ト し 、 ユーザオブジ ェ ク ト が イ ン ポー ト さ れた コ ン テナのユニバーサルパ ス ワー ド を有効に し ます。

DS

サーバを 停止 し て

NDSD_TRY_NMASLOGIN_FIRST=tree

を環境に設定 し た ら 、

DS

サーバを起 動 し ます。 その後、 簡易パ ス ワー ド を使用 し て イ ン ポー ト さ れたユーザオブジ ェ ク ト に対 し て

ldapsearch

を実行す る と 、 次の よ う なエ ラ ーが発生 し ます。

ldap_bind: 不明なエ ラ ー、 追加情報: NDS エ ラ ー: シ ス テ ムエ ラ ー(-632)

こ の問題を解決す る には、 ユーザオブジ ェ ク ト に対 し て

ldapsearch

を実行す る 前に、 デ フ ォ ル ト の ロ グ イ ン シーケ ン ス を、 ユーザオブジ ェ ク ト が イ ン ポー ト さ れた コ ン テナ の簡易パ ス ワー ド と し て設定 し て く だ さ い。

LDAP

が

NMAS

にユーザの ロ グ イ ン を要求す る 際、

NMAS

はデフ ォ ル ト の ロ グ イ ン シーケ ン ス を使用 し ます。 こ れ ら のユーザに対 し てデフ ォ ル ト の ロ グ イ ン シーケ ン ス を指定 し ない場合、

NMAS

は

NDS

シーケ ン ス を使用 し ます。 ユーザを イ ン ポー ト し た 際に こ れ ら のユーザに

NDS

パ ス ワー ド が割 り 当て ら れていない場合は、

NDS

シーケ ン ス は動作 し ません。 ユニバーサルパ ス ワー ド を有効にす る と 、 ユーザが簡易パ ス ワー ド を使用 し て ロ グ イ ンす る 際に、 簡易パ ス ワー ド は

NDS

パス ワー ド お よ びユニバーサ ルパ ス ワー ド と 同期 さ れます。

ドキュメント内 Novell eDirectory 8.8 トラブルシューティングガイド (ページ 99-102)