Click here to view and discuss this page in DocCommentXchange. In the future, you will be sent there automatically.
SQL Anywhere 11.0.1 (Deutsch) » SQL Anywhere Server - Datenbankadministration » Datenbank starten und Verbindung mit ihr herstellen » SQL Anywhere-Datenbankverbindungen » Kerberos-Authentifizierung

 

Fehlerbehandlung bei Kerberos-Verbindungen

Wenn Sie unerwartete Fehlermeldungen erhalten, während Sie versuchen, die Kerberos-Authentifizierung zu aktivieren oder zu verwenden, wird empfohlen, zusätzliche Diagnosemeldungen auf dem Datenbankserver und auf dem Client zu aktivieren.

Geben Sie beim Start des Datenbankservers die Option -z an oder verwenden Sie CALL sa_server_option( 'DebuggingInformation', 'ON' ), falls der Server bereits läuft, um zusätzliche Diagnosemeldungen auf der Serverkonsole zu erhalten. Der Verbindungsparameter LogFile schreibt Client-Diagnosemeldungen in die angegebene Datei. Als Alternative zum Verbindungsparameter LogFile können Sie den Befehl dbping -z ausführen. Der Parameter -z zeigt Diagnosemeldungen an, die es ermöglichen sollten, die Ursache des Verbindungsproblems zu identifizieren.

Schwierigkeiten beim Start des Datenbankservers
Symptom Übliche Lösungen
Meldung "Kerberos GSS-API-Bibliothek konnte nicht geladen werden"

  • Vergewissern Sie sich, dass ein Kerberos-Client auf dem Datenbankserver-Computer installiert ist, einschließlich der GSS-API-Bibliothek.

  • Die Ausgabe der Datenbankserveroption -z listet den Namen der Bibliothek auf, die der Datenbankserver zu laden versucht. Überprüfen Sie, ob der Bibliotheksname richtig ist. Erforderlichenfalls verwenden Sie die Option -kl, um den richtigen Bibliotheksnamen anzugeben.

  • Vergewissern Sie sich, dass das Verzeichnis und etwaige Supportbibliotheken im Bibliothekspfad angegeben sind (%PATH% unter Windows).

  • Wenn die Ausgabe der Datenbankserveroption -z angibt, dass der GSS-API-Bibliothek Eintrittspunkte fehlen, dann ist die Bibliothek keine unterstützte Kerberos Version 5 GSS-API-Bibliothek.

Meldung "Erwerb von Kerberos-Berechtigungsnachweisen für Servername "Servername" nicht möglich"

  • Vergewissern Sie sich, dass es einen Prinzipal für Servername@REALM im KDC gibt. Prinzipale berücksichtigen die Groß-/Kleinschreibung, daher vergewissern Sie sich, dass der Datenbankservername dieselbe Schreibweise wie der Benutzerabschnitt des Prinzipalnamens hat.

  • Vergewissern Sie sich, dass der Name des SQL Anywhere-Servers der Primär-/Benutzerabschnitt des Prinzipals ist.

  • Vergewissern Sie sich, dass der Prinzipal des Servers in eine Keytab-Datei extrahiert wurde und dass die Keytab-Datei den korrekten Standort für den Kerberos-Client hat. Weitere Hinweise finden Sie unter Kerberos-Clients.

  • Wenn sich der Standard-Realm für den Kerberos-Client auf dem Datenbankserver-Computer vom Realm im Server-Prinzipal unterscheidet, verwenden Sie die Option -kr, um den Realm im Server-Prinzipal anzugeben.

Client-Fehler "Kerberos-Login fehlgeschlagen"

  • Überprüfen Sie die Diagnosemeldungen des Datenbankservers. Manche Probleme mit der vom Server verwendeten Keytab-Datei werden erst erkannt, wenn ein Client versucht, sich zu authentifizieren.

Fehlerbehandlung bei Kerberos-Clientverbindungen

Wenn der Client einen Fehler beim Versuch erhielt, unter Verwendung der Kerberos-Authentifizierung eine Verbindung herzustellen:

Symptom Übliche Lösungen
Fehler "Kerberos-Logins werden nicht unterstützt" und LogFile enthält die Meldung "Laden der Kerberos GSS-API-Bibliothek fehlgeschlagen"

  • Vergewissern Sie sich, dass ein Kerberos-Client auf dem Clientcomputer installiert ist, einschließlich der GSS-API-Bibliothek.

  • Die von LogFile angegebene Datei listet den Namen der Bibliothek auf, die der Datenbankserver zu laden versucht. Überprüfen Sie, ob der Bibliotheksname korrekt ist, und verwenden Sie falls erforderlich den Kerberos-Verbindungsparameter, um den korrekten Bibliotheksnamen anzugeben.

  • Vergewissern Sie sich, dass das Verzeichnis, das etwaige Supportbibliotheken enthält, im Bibliothekspfad angegeben ist (%PATH% unter Windows).

  • Wenn die LogFile-Ausgabe angibt, dass der GSS-API-Bibliothek Eintrittspunkte fehlten, dann ist die Bibliothek keine unterstützte Kerberos Version 5 GSS-API-Bibliothek.

Fehler "Kerberos-Logins werden nicht unterstützt"

  • Vergewissern Sie sich, dass der Datenbankserver Kerberos-Logins aktiviert hat, indem Sie eine oder mehrere der Serveroptionen -krb, -kl oder -kr angeben.

  • Vergewissern Sie sich, dass Kerberos-Logins von SQL Anywhere auf der Client- und auf der Serverplattform unterstützt werden.
Fehler "Kerberos-Login fehlgeschlagen"

  • Vergewissern Sie sich, dass der Benutzer bei Kerberos angemeldet ist und ein gültiges Ticket-erteilendes Ticket hat, das noch nicht abgelaufen ist.

  • Vergewissern Sie sich, dass beim Clientcomputer und beim Servercomputer die Uhrzeiten mit maximal 5 Minuten Unterschied synchronisiert sind.

Fehler "Login-Modus 'Kerberos' bei login_mode-Einstellung nicht zulässig"

  • Die öffentliche oder temporäre Datenbankoptionseinstellung bei der login_mode-Option muss den Wert "Kerberos" enthalten, um Kerberos-Logins zuzulassen.

"Die Login-ID 'Client-Kerberos-Prinzipal' wurde keiner Datenbankbenutzer-ID zugeordnet"

  • Der Kerberos-Prinzipal muss einer Datenbankbenutzer-ID mit der Anweisung GRANT KERBEROS LOGIN zugeordnet werden. Beachten Sie, dass der vollständige Client-Prinzipal einschließlich des Realms in der Anweisung GRANT KERBEROS LOGIN angegeben werden muss, und dass Prinzipale, die sich nur in der Instanz oder im Realm unterscheiden, als unterschiedlich behandelt werden.

  • Wenn jeder gültige Kerberos-Prinzipal, der nicht explizit zugeordnet wurde, in der Lage sein soll, eine Verbindung herzustellen, können Sie auch unter Verwendung von GRANT CONNECT die Datenbankbenutzer-ID Guest mit einem Kennwort erstellen.

Copyright © 2009, iAnywhere Solutions, Inc. - SQL Anywhere 11.0.1