次に、ログイン実行時に発生する可能性のある問題、およびその解決方法に関する提案を示します。
- 構成可能な Kerberos 設定:
Kerberos Key Distribution Center (KDC) の名前とレルム設定は、Kerberos 構成ファイルによって指定されるか、システムプロパティーjava.security.krb5.kdx
およびjava.security.krb5.realm.
を介して指定されます。前のリリースでは、Kerberos 構成値への変更は、アプリケーションが再起動された場合にのみ有効になりました。
JDK 1.4.2 リリース以降では、JAAS 構成ファイルのKrb5LoginModule
へのエントリに、新しい boolean 型オプションrefreshKrb5Config
を指定できます。このオプションがtrue
に設定されている場合は、Krb5LoginModule
の login メソッドが呼び出される前に、構成値が再表示されます。
注: Kerberos 構成を変更する場合、refreshKrb5Config
をtrue
に設定する必要があります。この値を設定しないと、予期しない結果が発生することがあります。
- java.lang.SecurityException at javax.security.auth.login.Configuration.getConfiguration
原因:JAAS ログイン構成ファイルの処理で問題が発生しました。原因は、ファイル内の構文エラーと考えられます。
解決法: 構成ファイルに誤りがないか、注意深く確認します。ログイン構成ファイルに必要な構文の詳細は、「JAAS ログイン構成ファイル」を参照してください。
- javax.security.auth.login.LoginException:KrbException:Pre-authentication information was invalid (24) - Preauthentication failed
原因 1: 入力されたパスワードが無効です。
解決法 1: パスワードを確認します。
原因 2: 鍵の取得にキータブを使用している場合 (JAAS ログイン構成ファイルの Krb5LoginModule エントリで、
useKeyTab
オプションをtrue
に設定するなど)、キータブの更新後に鍵が変更された可能性があります。解決法 2:Kerberos ドキュメントを参照して新規 keytab を生成し、そのキータブを使用します。
原因 3: クロックスキュー - KDC 上の時間とクライアント上の時間が大きく異なる場合 (通常は 5 分)、エラーが返されることがあります。
解決法 3: クロックを同期させます (またはシステム管理者に同期を依頼)。
原因 4: Kerberos 領域名がすべて大文字になっていません。解決法 4:Kerberos 領域名をすべて大文字にします。注 -すべて大文字の領域名を使用するよう推奨されています。詳細については、このチュートリアルの「領域名とホスト名の命名規則」を参照してください。
- GSSException:No valid credentials provided (Mechanism level:Attempt to obtain new INITIATE credentials failed! (null)) . . . Caused by:javax.security.auth.login.LoginException:Clock skew too great
原因:Kerberos は KDC のクロックとクライアントのクロックがほぼ同期していることを要求します。デフォルトは 5 分以内です。同期していない場合、エラーが発生します。
解決法: クロックを同期させます (またはシステム管理者に同期を依頼)。
- javax.security.auth.login.LoginException:KrbException:Null realm name (601) - default realm not specified
原因:Kerberos 構成ファイル
krb5.conf
内で、ユーザー名の一部を構成するデフォルト領域が指定されていません (Kerberos 構成ファイルを使用する場合)。または、デフォルト領域が、java.security.krb5.realm
システムプロパティーで指定されていません。解決法:Kerberos 構成ファイル内 (使用する場合) にデフォルト領域を指定するエントリが含まれているかどうかを確認します。または、
java.security.krb5.realm
システムプロパティー値にデフォルト領域を直接指定し、Kerberos による認証時にこれをユーザー名に含めます。
- javax.security.auth.login.LoginException:java.net.SocketTimeoutException:Receive timed out
解決法:Kerberos KDC が起動済みで、稼動中であることを確認します。
- GSSException:No valid credentials provided (Mechanism level:Failed to find any Kerberos Ticket)
原因: 有効な Kerberos クレデンシャルの取得が行われていない場合、このエラーが発生します。特に、基盤となる機構で資格の取得を行う予定であったのに、
javax.security.auth.useSubjectCredsOnly
システムプロパティー値をfalse
に設定 すること (たとえば、実行コマンドに-Djavax.security.auth.useSubjectCredsOnly=false
を含めて) を忘れてしまった場合、このエラーが発生します。解決法:JAAS を使って認証を実行するアプリケーションやラッパープログラム (このシリーズのチュートリアルで使用した Login ユーティリティーなど) ではなく、基盤となる機構で資格の取得を行う場合、
javax.security.auth.useSubjectCredsOnly
システムプロパティー値を確実にfalse
に設定します。
- javax.security.auth.login.LoginException:Could not load configuration file <krb5.conf> (No such file or directory)
原因: チュートリアルのサンプル実行コマンドは、
java.security.krb5.realm
およびjava.security.krb5.kdc
システムプロパティーの値を設定することにより、デフォルトの Kerberos 領域および KDC を指定します。必要に応じて、これらのシステムプロパティーの代わりに、Kerberos 構成ファイルkrb5.conf
を使用できます。Kerberos 構成ファイルには、デフォルト領域および KDC の情報が含まれます。krb5.conf
ファイルを使用するには、システムプロパティーjava.security.krb5.conf
を (realm
およびkdc
プロパティーの代わりに) 使用してファイルの位置を指定します。これらのプロパティーがいずれも設定されていない場合、デフォルト位置でkrb5.conf
ファイルの検出が試みられます。ファイルが見つからない場合、「Could not load configuration file <krb5.conf> (No such file or directory)」というエラーが表示されます。解決法:Kerberos 構成ファイル
krb5.conf
が、利用可能かつ読み取り可能であることを確認します。krb5.conf
ファイルの位置指定方法、および位置を明示的に指定しない場合のデフォルト検索位置については、「Kerberos 要件」を参照してください。
- javax.security.auth.login.LoginException:KrbException:KDC has no support for encryption type (14) - KDC has no support for encryption type
原因 1: 使用する KDC が、要求された暗号化タイプをサポートしません
解決法 1:Sun の Kerberos 実装では、暗号化タイプとして、
des-cbc-md5
、des-cbc-crc
、およびdes3-cbc-sha1
をサポートしています。アプリケーションでは、Kerberos 構成ファイル
krb5.conf
で以下のタグを指定することにより、適当な暗号化タイプを選択できます。指定しない場合のデフォルト値は以下のとおりです。[libdefaults] default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1 permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1des-cbc-md5 des-cbc-crc des3-cbc-sha1原因 2: この例外は、いくつかの Windows プラットフォームでネイティブチケットキャッシュを使用するとスローされます。Microsoft は新機能を追加しており、その機能では Ticket Granting Tickets (TGT) のセッション鍵がエクスポートされなくなっています。そのため、Windows で取得したネイティブ TGT は、「空の」セッション鍵と null の EType を持つことになります。このエラーが発生するプラットフォームは、Windows Server 2003、Windows 2000 Server Service Pack 4 (SP4)、および Windows XP SP2 などです。
解決法 2: Windows のレジストリをアップデートして、この新機能を無効にする必要があります。レジストリキー
allowtgtsessionkey
を追加し、正しく設定して、Kerberos の Ticket Granting Ticket でセッション鍵が送信されるようにしてください。Windows Server 2003 と Windows 2000 SP4 の場合に必要とされるレジストリ設定を次に示します。
デフォルトでは値が 0 に設定されています。 0x01 に設定することにより、セッション鍵を TGT に含めることができます。HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\Parameters Value Name: allowtgtsessionkey Value Type: REG_DWORD Value: 0x01 ( default is 0 )Windows XP SP2 のレジストリ設定の位置を次に示します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Kerberos\ Value Name: allowtgtsessionkey Value Type: REG_DWORD Value: 0x01
原因: KDC により、クライアントが認識不可能な応答が返されました。
解決法:
krb5.conf
ファイルの構成パラメータすべてが適正に設定されていることを確認し、KDC ベンダー提供のドキュメントを参照してください。
sun.security.krb5.debug
を「true」に設定することで、デバッグモードを有効にできます。この設定により、プログラムが Kerberos V5 プロトコルを実行する様子を確認できます。直面している問題についての情報をフィードバックする場合は、完全なデバッグ出力を含めていただけると非常に助かります。