Kerberos および Kerberos SSO のトラブルシューティング
ここでは、Kerberos および Kerberos SSO のトラブルシューティングについて説明します。
Kerberos または Kerberos SSO が正しく設定されていない場合に、次のエラー メッセージがログ ファイルまたはデバッグ情報に出力されることがあります。
|
|
デバッグをオンにするには、mks.security.debug=true を security.properties に追加します。
|
• ERROR(0): No valid credentials provided (Mechanism level: Server not found in Kerberos database (7)).
このエラー メッセージがクライアント側のログ ファイルに出力される場合は、mks.security.clientServiceName の設定が正しくありません。Windchill RV&S Server の実行で使用しているユーザー名に設定されていることを確認してください。
• WARNING(0): The registry key required to support Kerberos Single-Sign-On is missing. You may wish to add them manually.
WARNING(0): Integrity Server does not allow registry key to be automatically added. Either add the key manually or consult your Integrity Server administrator.
WARNING(0): On Windows Server 2000 and 2003 the key "allowtgtsessionkey" in HKEY_LOCAL_MACHINESystem\CurrentControlSet\ Control\Lsa\Kerberos\Parameters with value 1 should be added (reboot may be required).
このエラー メッセージがクライアント側のログ ファイルに出力される場合は、クライアント側のレジストリ キーが欠落しています。
• ERROR(0): No valid credentials provided (Mechanism level: Failed to find any Kerberos Ticket).
このエラー メッセージがクライアント側のログ ファイルに出力される場合は、mks.security.kerberosRealmName または mks.security.kdcAddress の設定が誤っています。たとえば、領域名が大文字で入力されていないなどです。
• 15:52:35,661 INFO [IntegrityServer] DEBUG(10): Login exception encountered while attempting authentication of user kmorton via policy default-policy. Details of exception No valid credentials provided (Mechanism level: Failed to find any Kerberos Key).
このエラー メッセージがサーバー側のログ ファイルに出力される場合は、mks.security.SPN 設定が、ktpass コマンドで指定された -princ オプションに一致していません。
• 17:37:03,208 INFO [STDOUT] error Message is Client not found in Kerberos database.
このエラー メッセージが Kerberos のデバッグ情報に出力される場合は、keytab ファイルに問題があります。無効なプリンシパル名を含んでいるか、mks.security.SPN の設定が ktpass コマンドに指定された -princ オプションと一致していない可能性があります。
• DEBUG(10): Login exception encountered while attempting authentication of user ldaprealmtest1 via policy default-policy. Details of exception Pre-authentication information was invalid (24).
windows_clear または windows_private セキュリティ ポリシーを使用した認証時にこのエラー メッセージがサーバー側のログに出力される場合は、security.properties 内の mks.security.kerberosRealmName または mks.security.kdcAddress の設定に問題があります。
• DEBUG(10): Login exception encountered while attempting authentication of user ldaprealmtest1 via policy default-policy. Details of exception Clock skew too great (37).
windows_clear または windows_private セキュリティ ポリシーを使用した認証時にこのエラー メッセージがサーバー側のログに出力される場合は、サーバーのクロックとクライアント マシンのクロックの同期がとれていません。Kerberos 認証ドメインが機能するためには、サーバーとクライアントのクロックが同期されている (ずれが妥当な範囲内である) 必要があります。
追加のトラブルシューティング情報については、次の Web ページにアクセスしてください。
