第23 章• Kerberos 错误消息和疑难解答433
解决方法: 请确保krb5.conf 文件在正确的位置中可用,并且具有正确的权限。此文件应
可由root 写入,并可由其他用户读取。
Client did not supply required checksum--connection rejected
原因: 未与客户机协商使用校验和进行验证。客户机使用的可能是不支持初始连接支持的
早期Kerberos V5 协议。
解决方法: 请确保客户机使用的是支持初始连接支持的Kerberos V5 协议。
Client/server realm mismatch in initial ticket request
原因: 在初始票证请求中,客户机与服务器之间的领域不匹配。
解决方法: 请确保正在与您通信的服务器与客户机位于同一领域中,或确保领域配置正
确。
Client or server has a null key
原因: 主体拥有空密钥。
解决方法: 请使用kadmin 的cpw 命令修改主体,使其拥有非空密钥。
Communication failure with server while initializing kadmin interface
原因: 为管理服务器指定的主机(也称为主KDC)没有运行kadmind 守护进程。
解决方法: 请确保为主KDC指定正确的主机名。如果指定了正确的主机名,请确保
kadmind 正在指定的主KDC 上运行。
Credentials cache file permissions incorrect
原因: 您对凭证高速缓存(/tmp/krb5cc_ uid) 没有相应的读写权限。
解决方法: 请确保具有对凭证高速缓存的读写权限。
Credentials cache I/O operation failed XXX
原因: Kerberos 在向系统的凭证高速缓存(/tmp/krb5cc_uid) 进行写入时出现问题。
解决方法: 请使用df 命令确保尚未删除凭证高速缓存,并且设备中还有剩余空间。
Decrypt integrity check failed
原因: 您的票证可能无效。
解决方法: 请检验下列两种情况:
� 确保您的凭证有效。请使用kdestroy 销毁票证,然后使用kinit 创建新票证。
� 确保目标主机的密钥表文件的服务密钥版本正确。请使用kadmin 查看Kerberos 数据
库中服务主体(例如host/FQDN-hostname)的密钥版本号。另外,请在目标主机上
使用klist -k,以确保该主机具有相同的密钥版本号。
Encryption could not be enabled. Goodbye.
原因: 无法与服务器协商加密。
Kerberos 错误消息
434 系统管理指南:安全性服务• 2006 年9 月
解决方法: 请通过使用toggle encdebug 命令调用telnet 命令,启动验证调试并查看调试
消息以获取更多线索。
failed to obtain credentials cache
原因: 在kadmin 初始化过程中,kadmin 尝试获取admin 主体的凭证时失败。
解决方法: 请确保在执行kadmin 时使用正确的主体和口令。
Field is too long for this implementation
原因: 基于Kerberos 的应用程序所发送的消息太长。如果传输协议是UDP,则可能会生
成此错误。UDP的缺省最大消息长度是65535 字节。此外,对通过Kerberos 服务发送的
协议消息中的单个字段也有限制。
解决方法: 请检验是否已在KDC服务器的/etc/krb5/kdc.conf 文件中将传输协议限制为
UDP。
GSS-API (or Kerberos) error
原因: 此消息是通用的GSS-API 或Kerberos 错误消息,可能由几种不同的问题所导致。
解决方法: 请检查/var/krb5/kdc.log 文件,查找出现此错误时记录的更具体的错误消
息。
Hostname cannot be canonicalized
原因: Kerberos 无法设置全限定主机名。
解决方法: 请确保在DNS 中定义了该主机名,并且主机名至地址的映射和地址至主机名的
映射保持一致。
Illegal cross-realm ticket
原因: 发送的票证所跨的领域不正确。领域可能未设置正确的信任关系。
解决方法: 请确保使用的领域具有正确的信任关系。
Improper format of Kerberos configuration file
原因: Kerberos 配置文件包含无效项。
解决方法: 请确保krb5.conf 文件中的所有关系后面都跟有"=" 符号和值。另外,请检验每
个子段中的括号是否成对出现。
Inappropriate type of checksum in message
原因: 消息中包含无效的校验和类型。
解决方法: 请检查在krb5.conf 和kdc.conf 文件中指定的有效校验和类型。
Incorrect net address
原因: 网络地址不匹配。正在转发的票证中的网络地址与处理该票证的网络地址不同。转
发票证时可能会出现此消息。
Kerberos 错误消息
第23 章• Kerberos 错误消息和疑难解答435
解决方法: 请确保网络地址正确。请使用kdestroy 销毁票证,然后使用kinit 创建新票
证。
Invalid credential was supplied
Service key not available
原因: 凭证高速缓存中的服务票证可能不正确。
解决方法: 请在尝试使用此服务之前,销毁当前凭证高速缓存并重新运行kinit。
Invalid flag for file lock mode
原因: 出现内部Kerberos 错误。
解决方法: 请报告错误。
Invalid message type specified for encoding
原因: Kerberos 无法识别基于Kerberos 的应用程序发送的消息类型。
解决方法: 如果使用的基于Kerberos 的应用程序是由您的站点或供应商开发的,请确保此
应用程序正确使用Kerberos。
Invalid number of character classes
原因: 指定的主体口令没有按照主体策略的强制要求包含足够的口令类。
解决方法: 请确保指定的口令包含策略要求的最少口令类数。
KADM err: Memory allocation failure
原因: 用于运行kadmin 的内存不足。
解决方法: 请释放内存,然后再次尝试运行kadmin。
KDC can’t fulfill requested option
原因:KDC不允许请求的选项。一种可能是正在请求以后生效或可转发的选项,而KDC
不允许这些选项。另一种可能是请求了TGT 更新,但没有可更新的TGT。
解决方法: 请确定是要请求KDC不允许的选项,还是请求不可用的票证类型。
KDC policy rejects request
原因: KDC 策略不允许该请求。例如,向KDC 发出的请求中没有IP 地址。或者请求了转
发,但KDC 不允许转发。
解决方法: 请确保使用带有正确选项的kinit。如有必要,请修改与主体关联的策略或更
改主体的属性以允许该请求。通过使用kadmin,可以修改策略或主体。
KDC reply did not match expectations
原因:KDC回复未包含期望的主体名称,或者响应中的其他值不正确。
Kerberos 错误消息
436 系统管理指南:安全性服务• 2006 年9 月
解决方法: 请确保正在与您通信的KDC 符合RFC1510,正在发送的请求是Kerberos V5 请
求或该KDC 可用。
kdestroy: Could not obtain principal name from cache
原因: 凭证高速缓存缺失或已损坏。
解决方法: 请检查提供的高速缓存位置是否正确。如有必要,请使用kinit 删除TGT 并获
取新的TGT。
kdestroy: No credentials cache file found while destroying cache
原因: 凭证高速缓存(/tmp/krb5c_ uid) 缺失或已损坏。
解决方法: 请检查提供的高速缓存位置是否正确。如有必要,请使用kinit 删除TGT 并获
取新的TGT。
kdestroy: TGT expire warning NOT deleted
原因: 凭证高速缓存缺失或已损坏。
解决方法: 请检查提供的高速缓存位置是否正确。如有必要,请使用kinit 删除TGT 并获
取新的TGT。
Kerberos authentication failed
原因: Kerberos 口令不正确,或该口令可能与UNIX 口令不同步。
解决方法: 如果口令不同步,则必须指定其他口令才能完成Kerberos 验证。用户可能会忘
记其原始口令。
Kerberos V5 refuses authentication
原因: 无法与服务器协商验证。
解决方法: 请通过使用toggle authdebug 命令调用telnet 命令,启动验证调试并查看调试
消息以获取更多线索。另外,请确保具有有效凭证。
Key table entry not found
原因: 网络应用程序服务器的密钥表文件中不存在服务主体项。
解决方法: 请将相应的服务主体添加到服务器的密钥表文件中,以便该文件可提供基于
Kerberos 的服务。
Key version number for principal in key table is incorrect
原因: 密钥表文件中主体的密钥版本与Kerberos 数据库中的版本不同。可能已更改了服务
密钥,也可能正在使用旧服务票证。
解决方法: 如果服务密钥已被更改(例如通过使用kadmin),则需要提取新密钥并将其存
储在正在运行该服务的主机的密钥表文件中。
或者,您也可能正在使用具有较旧密钥的旧服务票证。在这种情况下,可能需要运行
kdestroy 命令,然后再次运行kinit 命令。
Kerberos 错误消息
第23 章• Kerberos 错误消息和疑难解答437
kinit: gethostname failed
原因: 本地网络配置中的错误导致kinit 失败。
解决方法: 请确保主机配置正确。
login: load_modules: can not open module /usr/lib/security/pam_krb5.so.1
原因: Kerberos PAM模块可能缺失,也可能该模块不是有效的可执行二进制文件。
解决方法: 请确保Kerberos PAM模块位于/usr/lib/security 目录中,并且是有效的可执
行二进制文件。另外,请确保/etc/pam.conf 文件包含pam_krb5.so.1 的正确路径。
Looping detected inside krb5_get_in_tkt
原因: Kerberos 多次尝试获取初始票证,但均失败。
解决方法: 请确保至少有一个KDC正在响应验证请求。
Master key does not match database
原因: 未从包含主密钥的数据库创建装入的数据库转储。主密钥位于
/var/krb5/.k5.REALM 中。
解决方法: 请确保装入的数据库转储中的主密钥与/var/krb5/.k5. REALM 中的主密钥匹
配。
Matching credential not found
原因: 未找到与请求匹配的凭证。凭证高速缓存中没有请求需要的凭证。
解决方法: 请使用kdestroy 销毁票证,然后使用kinit 创建新票证。
Message out of order
原因: 使用顺序保密性发送的消息到达时顺序混乱。某些消息可能已在传输过程中丢失。
解决方法: 应重新初始化Kerberos 会话。
Message stream modified
原因: 计算出的校验和与消息校验和不匹配。消息在传输过程中可能已被修改,这表明存
在安全泄露。
解决方法: 请确保消息在网络中正确发送。由于此消息还可表明消息在发送过程中被篡
改,因此请使用kdestroy 销毁票证,然后重新初始化所使用的Kerberos 服务。
常见的Kerberos 错误消息(N-Z)
本节按字母顺序(N-Z) 列出了Kerberos 命令、Kerberos 守护进程、PAM框架、GSS 接口、
NFS 服务和Kerberos 库的常见错误消息。
Kerberos 错误消息
438 系统管理指南:安全性服务• 2006 年9 月
No credentials cache file found
原因: Kerberos 无法找到凭证高速缓存(/tmp/krb5cc_uid)。
解决方法: 请确保该凭证文件存在并且可以读取。否则,请再次尝试执行kinit。
No credentials were supplied, or the credentials were unavailable or inaccessible
No credential cache found
原因: 用户的凭证高速缓存不正确或不存在。
解决方法: 用户应在尝试启动服务之前运行kinit。
No credentials were supplied, or the credentials were unavailable or inaccessible
No principal in keytab matches desired name
原因: 尝试验证服务器时出现错误。
解决方法: 请确保主机或服务主体位于服务器的密钥表文件中。
Operation requires “privilege” privilege
原因: 正在使用的admin 主体未在kadm5.acl 文件中配置相应的权限。
解决方法: 请使用具有相应权限的主体。或者,请通过修改kadm5.acl 文件来配置所使用
的主体,使其具有相应的权限。通常,名称中包含/admin 的主体具有相应的权限。
PAM-KRB5 (auth): krb5_verify_init_creds failed: Key table entry not found
原因: 远程应用程序尝试在本地/etc/krb5/krb5.keytab 文件中读取主机的服务主体,但
不存在任何主体。
解决方法: 请将主机的服务主体添加到主机的密钥表文件中。
Password is in the password dictionary
原因: 指定的口令位于正在使用的口令字典中。您选择的口令不适合用作口令。
解决方法: 请选用包含混合口令类的口令。
Permission denied in replay cache code
原因: 无法打开系统的重放高速缓存。首次运行服务器时所使用的用户ID 可能与当前的
用户ID 不同。
解决方法: 请确保重放高速缓存具有相应的权限。重放高速缓存存储在运行基于Kerberos
的服务器应用程序的主机上。对于非root 用户,重放高速缓存文件称为
/var/krb5/rcache/rc_service_name_ uid。对于root 用户,重放高速缓存文件称为
/var/krb5/rcache/root/rc_ service_name。
Protocol version mismatch
原因: 很可能向KDC 发送了Kerberos V4 请求。Kerberos 服务仅支持Kerberos V5 协议。
解决方法: 请确保应用程序使用的是Kerberos V5 协议。
Kerberos 错误消息
第23 章• Kerberos 错误消息和疑难解答439
Request is a replay
原因: 请求已发送到此服务器并进行了处理。票证可能已被盗用,并且其他用户正在尝试
重新使用这些票证。
解决方法: 请等待几分钟,然后重新发出请求。
Requested principal and ticket don’t match
原因: 您正在连接的服务主体与您所拥有的服务票证不匹配。
解决方法: 请确保DNS 正常运行。如果使用的是其他供应商的软件,请确保该软件使用的
主体名称正确。
Requested protocol version not supported
原因: 很可能向KDC 发送了Kerberos V4 请求。Kerberos 服务仅支持Kerberos V5 协议。
解决方法: 请确保应用程序使用的是Kerberos V5 协议。
Server refused to negotiate authentication, which is required for encryption. Good
bye.
原因: 远程应用程序无法接受或已配置为不接受来自客户机的Kerberos 验证。
解决方法: 请提供可以协商验证的远程应用程序,或配置该应用程序以使用相应标志来打
开验证。
Server refused to negotiate encryption. Good bye.
原因: 无法与服务器协商加密。
解决方法: 请通过使用toggle encdebug 命令调用telnet 命令,启动验证调试并查看调试
消息以获取更多线索。
Server rejected authentication (during sendauth exchange)
原因: 您正在尝试与其通信的服务器拒绝验证。此错误通常出现在Kerberos 数据库传播过
程中。一些常见的原因可能是kpropd.acl 文件、DNS 或密钥表文件存在问题。
解决方法: 如果在运行kprop 以外的应用程序时收到此错误,请检查服务器的密钥表文件
是否正确。
The ticket isn’t for us
Ticket/authenticator don’t match
原因: 票证与验证者不匹配。请求中的主体名称可能与服务主体的名称不匹配,因为发送
票证使用的是主体的FQDN 名称,而服务期望非FQDN 名称,反之亦然。
解决方法: 如果在运行kprop 以外的应用程序时收到此错误,请检查服务器的密钥表文件
是否正确。
Kerberos 错误消息
440 系统管理指南:安全性服务• 2006 年9 月
Ticket expired
原因: 票证时间已到期。
解决方法: 请使用kdestroy 销毁票证,然后使用kinit 创建新票证。
Ticket is ineligible for postdating
原因: 主体不允许其票证以后生效。
解决方法: 请使用kadmin 修改主体以允许以后生效。
Ticket not yet valid
原因: 以后生效的票证仍然无效。
解决方法: 请使用正确的日期创建新票证,或等待当前票证生效。
Truncated input file detected
原因: 操作中使用的数据库转储文件不是完整的转储文件。
解决方法: 请重新创建转储文件,或使用其他数据库转储文件。
Unable to securely authenticate user ... exit
原因: 无法与服务器协商验证。
解决方法: 请通过使用toggle authdebug 命令调用telnet 命令,启动验证调试并查看调试
消息以获取更多线索。另外,请确保具有有效凭证。
Wrong principal in request
原因: 票证中包含无效的主体名称。此错误可能表明DNS 或FQDN 存在问题。
解决方法: 请确保服务主体与票证中的主体匹配。
Kerberos 疑难解答
本节介绍有关Kerberos 软件的疑难解答信息。
krb5.conf 文件的格式存在问题
如果krb5.conf 文件的格式不正确,telnet 命令将会失败。但是,dtlogin 和login 命令仍
将成功,即使按这些命令的要求指定krb5.conf 文件也是如此。如果出现此问题,则会显示
以下错误消息:
Error initializing krb5: Improper format of Kerberos configuration
此外,格式不正确的krb5.conf 文件还会阻止使用GSSAPI 的应用程序使用krb5 机制。
如果krb5.conf 文件的格式存在问题,则安全性很容易受到破坏。您应首先解决该问题,然
后再允许使用Kerberos 功能。
Kerberos 疑难解答
第23 章• Kerberos 错误消息和疑难解答441
传播Kerberos 数据库时出现问题
如果传播Kerberos 数据库失败,请在从KDC 与主KDC 之间尝试使用/usr/bin/rlogin -x,
反之亦然。
如果KDC 已设置为限制访问,则会禁用rlogin,因此无法使用它来解决此问题。要在KDC
上启用rlogin,必须启用eklogin 服务。
# svcadm enable svc:/network/login:eklogin
解决此问题后,需要禁用eklogin 服务。
如果rlogin 无法运行,则可能是因为KDC 上的密钥表文件存在问题。如果rlogin 可以运
行,则问题不在于密钥表文件或名称服务,因为rlogin 和传播软件使用相同的
host/host-name 主体。在这种情况下,请确保kpropd.acl 文件正确。
挂载基于Kerberos 的NFS 文件系统时出现问题
� 如果挂载基于Kerberos 的NFS 文件系统失败,请确保NFS 服务器上存在
/var/rcache/root 文件。如果该文件系统不属于root,请将其删除并再次尝试挂载。
� 如果访问基于Kerberos 的NFS 文件系统时出现问题,请确保系统和NFS 服务器上启用了
gssd 服务。
� 如果在尝试访问基于Kerberos 的NFS 文件系统时出现invalid argument 或bad
directory 错误消息,则可能是因为在尝试挂载NFS 文件系统时未使用全限定DNS 名
称。正在挂载的主机与服务器的密钥表文件中的服务主体的主机名部分不相同。
如果服务器有多个以太网接口,并且已将DNS 设置为使用“每个接口一个名称”的方案,
而不是“每台主机多条地址记录”的方案,则也可能会出现此问题。对于Kerberos 服务,
应为每台主机设置多条地址记录,如下所示1 :
my.host.name. A 1.2.3.4
A 1.2.4.4
A 1.2.5.4
my-en0.host.name. A 1.2.3.4
my-en1.host.name. A 1.2.4.4
my-en2.host.name. A 1.2.5.4
1 Ken Hornstein,"Kerberos FAQ",[],访问时间:1998 年12 月11 日。
Kerberos 疑难解答
442 系统管理指南:安全性服务• 2006 年9 月
4.3.2.1 PTR my.host.name.
4.4.2.1 PTR my.host.name.
4.5.2.1 PTR my.host.name.
在本示例中,此设置允许引用服务器的密钥表文件中的不同接口和一个服务主体(而非三
个服务主体)一次。
以root 身份进行验证时出现问题
如果在尝试成为系统超级用户时验证失败,并且已将root 主体添加到主机的密钥表文件
中,则需要检查两个可能的问题。首先,请确保密钥表文件中的root 主体具有一个全限定
主机名作为其实例。如果具有该名称,请检查/etc/resolv.conf 文件,以确保系统已正确
设置为DNS 客户机。
观察从GSS 凭证到UNIX 凭证的映射
为了可以监视凭证映射,请首先在/etc/gss/gsscred.conf 文件中取消对以下行的注释。
SYSLOG_UID_MAPPING=yes
然后,指示gssd 服务从/etc/gss/gsscred.conf 文件中获取信息。
# pkill -HUP gssd
现在,您应该可以在gssd 请求凭证映射时对其进行监视。如果针对auth 系统功能将
syslog.conf 文件设置为debug 严重级别,则可通过syslogd 记录这些映射。
Kerberos 疑难解答
第23 章• Kerberos 错误消息和疑难解答443
444
管理Kerberos 主体和策略(任务)
本章介绍有关管理主体及与其关联的策略的过程。本章还将说明如何管理主机的密钥表文
件。
需要管理主体和策略的用户应该阅读本章。阅读本章之前,应熟悉主体和策略,包括所有
规划注意事项。请分别参阅第20 章和第21 章。
以下是本章中信息的列表。
� 第445 页中的“管理Kerberos 主体和策略的方法”
� 第446 页中的“SEAMAdministration Tool”
� 第450 页中的“管理Kerberos 主体”
� 第463 页中的“管理Kerberos 策略”
� 第472 页中的“SEAM Tool 参考”
� 第476 页中的“管理密钥表文件”
管理Kerberos 主体和策略的方法
主KDC 上的Kerberos 数据库包含您所在领域的所有Kerberos 主体、主体口令、策略和其他
管理信息。创建和删除主体以及修改其属性时,可以使用kadmin 或gkadmin 命令。
kadmin 命令提供一个交互式的命令行界面,用于维护Kerberos 主体、策略和密钥表文件。
kadmin 命令具有以下两个版本:
� kadmin-使用Kerberos 验证从网络中的任何位置安全操作
� kadmin.local-必须直接在主KDC 上运行
除kadmin 使用Kerberos 来验证用户外,这两个版本的功能完全相同。如果要设置足够的数
据库以便使用远程版本,则必须使用本地版本。
另外,Solaris 发行版还提供了SEAMAdministration Tool (gkadmin),这是一个交互式的图形
用户界面(graphical user interface, GUI),其功能基本上与kadmin 命令相同。有关更多信息,
请参见第446 页中的“SEAMAdministration Tool”。
24 第2 4 章
445
SEAMAdministration Tool
SEAMAdministration Tool (SEAM Tool) 是一个交互式的图形用户界面(graphical user interface,
GUI),用于维护Kerberos 主体和策略。此工具提供的功能与kadmin 命令基本相同。但是,
此工具不支持密钥表文件管理。必须使用kadmin 命令来管理密钥表文件,如第476 页中的
“管理密钥表文件”中所述。
与kadmin 命令类似,SEAM Tool 使用Kerberos 验证和加密RPC 从网络中的任何位置安全操
作。SEAM Tool 可以执行以下操作:
� 创建基于缺省值或现有主体的新主体。
� 创建基于现有策略的新策略。
� 为主体添加注释。
� 设置缺省值以创建新主体。
� 在不退出工具的情况下以其他主体身份登录。
� 打印或保存主体列表和策略列表。
� 查看和搜索主体列表和策略列表。
SEAM Tool 还会提供关联说明和一般联机帮助。
以下任务列表提供了指向可借助SEAM Tool 完成的各种任务的链接:
� 第451 页中的“管理Kerberos 主体(任务列表)”
� 第464 页中的“管理Kerberos 策略(任务列表)”
此外,还可转至第472 页中的“SEAM Tool 面板说明”,了解可在SEAM Tool 中指定或查看
的所有主体属性和策略属性的说明。
SEAM Tool 的等效命令行
本节列出了一些kadmin 命令,其提供的功能与SEAM Tool 相同。无需运行X 窗口系统,便
可使用这些命令。尽管本章中的大多数过程使用SEAM Tool,但其中许多过程还提供了使用
等效命令行的对应示例。
表24–1SEAMTool 的等效命令行
SEAM Tool 过程等效的kadmin 命令
查看主体列表。list_principals 或get_principals
查看主体属性。get_principal
创建新主体。add_principal
复制主体。无等效命令行
修改主体。modify_principal 或change_password
SEAMAdministration Tool
446 系统管理指南:安全性服务• 2006 年9 月
表24–1SEAMTool 的等效命令行(续)
SEAM Tool 过程等效的kadmin 命令
删除主体。delete_principal
设置缺省值以创建新主体。无等效命令行
查看策略列表。list_policies 或get_policies
查看策略属性。get_policy
创建新策略。add_policy
复制策略。无等效命令行
修改策略。modify_policy
删除策略。delete_policy
SEAM Tool 修改的唯一文件
SEAM Tool 修改的唯一文件是$HOME/.gkadmin 文件。该文件包含用于创建新主体的缺省
值。通过从"Edit" 菜单中选择"Properties",可以更新该文件。
SEAM Tool 的打印和联机帮助功能
SEAM Tool 提供了打印功能和联机帮助功能。通过"Print" 菜单,可将以下各项发送至打印
机或文件:
� 指定主KDC 上的可用主体列表
� 指定主KDC 上的可用策略列表
� 当前选择的主体或装入的主体
� 当前选择的策略或装入的策略
通过"Help" 菜单,可以访问关联说明和一般帮助。从"Help" 菜单中选择"Context-Sensitive
Help" 时,将显示"Context-Sensitive Help" 窗口并且工具会切换为帮助模式。在帮助模式下,
如果单击该窗口中的任何字段、标签或按钮,将在"Help" 窗口中显示有关该项的帮助。要
切换回工具的一般模式,请在"Help" 窗口中单击"Dismiss"。
此外,还可选择"Help Contents",这将打开一个HTML浏览器,其中会提供指向本章中介绍
的一般概述和任务信息的链接。
在SEAM Tool 中处理大型列表
随着站点开始积累大量主体和策略,使用SEAM Tool 装入并显示主体和策略列表所需的时
间将会越来越长。因此,使用该工具时的工作效率会下降。解决此问题有多种办法。
阅读(2675) | 评论(0) | 转发(0) |
