Você pode enfrentar dificuldades ao configurar o Certificado para Kerberos ou o SAML para Kerberos no seu ambiente. Você pode usar vários procedimentos para diagnosticar e corrigir esses problemas.

Monitorar a integridade do servidor KDC e do servidor de aplicativos de back-end

É possível observar rapidamente que os serviços implantados estão configurados e operando com sucesso a partir da IU do administrador para as configurações de borda.

É exibido um círculo antes do serviço. O código de cores é o seguinte:
  • Círculo vermelho: se o status for vermelho, isso poderá significar uma das opções a seguir.
    • Problemas de conectividade entre o Active Directory e o Unified Access Gateway
    • Problemas de bloqueio de portas entre o Active Directory e o Unified Access Gateway.
      Observação: Certifique-se de que a porta 88 TCP e UDP esteja aberta na máquina do Active Directory.
    • As credenciais de nome e senha da entidade de segurança podem estar incorretas no arquivo keytab carregado.
  • Círculo verde: se o status for verde, isso significará que o Unified Access Gateway é capaz de fazer logon no Active Directory com as credenciais fornecidas no arquivo keytab.

Erro ao criar contexto do Kerberos: distorção muito grande do relógio

Esta mensagem de erro: 
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

é exibida quando o horário do Unified Access Gateway e o horário do servidor AD estão significativamente fora de sincronia. Redefina o horário no servidor AD para coincidir com a hora UTC exata do Unified Access Gateway.

Erro ao criar contexto do Kerberos: nome ou serviço não conhecido

Esta mensagem de erro: 
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known
é exibida quando o Unified Access Gateway não pode acessar o território configurado ou não pode conectar-se ao KDC com os detalhes do usuário no arquivo keytab. Confirme o seguinte:
  • o arquivo keytab foi gerado com a senha de conta de usuário SPN correta e foi carregado no Unified Access Gateway
  • o endereço IP do aplicativo de back-end e o nome do host foram adicionados corretamente nas entradas de host.

Erro no recebimento do token Kerberos para o usuário: [email protected], erro: erro de delegação de Kerberos: nome do método: gss_acquire_cred_impersonate_name: falha de GSS não especificado. Códigos menores podem fornecer mais informações

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"

Se esta mensagem for exibida, verifique se:
  • A relação de confiança entre os domínios está funcionando.
  • O nome SPN de destino está configurado corretamente.