Você pode enfrentar dificuldades ao configurar o Certificado para Kerberos ou o SAML para Kerberos no seu ambiente. Você pode usar vários procedimentos para diagnosticar e corrigir esses problemas.
Monitorar a integridade do servidor KDC e do servidor de aplicativos de back-end
É possível observar rapidamente que os serviços implantados estão configurados e operando com sucesso a partir da IU do administrador para as configurações de borda.
É exibido um círculo antes do serviço. O código de cores é o seguinte:
- Círculo vermelho: se o status for vermelho, isso poderá significar uma das opções a seguir.
- Problemas de conectividade entre o Active Directory e o Unified Access Gateway
- Problemas de bloqueio de portas entre o Active Directory e o Unified Access Gateway.
Observação: Certifique-se de que a porta 88 TCP e UDP esteja aberta na máquina do Active Directory.
- As credenciais de nome e senha da entidade de segurança podem estar incorretas no arquivo keytab carregado.
- Círculo verde: se o status for verde, isso significará que o Unified Access Gateway é capaz de fazer logon no Active Directory com as credenciais fornecidas no arquivo keytab.
Erro ao criar contexto do Kerberos: distorção muito grande do relógio
Esta mensagem de erro:
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Clock skew too great"
é exibida quando o horário do Unified Access Gateway e o horário do servidor AD estão significativamente fora de sincronia. Redefina o horário no servidor AD para coincidir com a hora UTC exata do Unified Access Gateway.
Erro ao criar contexto do Kerberos: nome ou serviço não conhecido
Esta mensagem de erro:
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Name or service not known
é exibida quando o
Unified Access Gateway não pode acessar o território configurado ou não pode conectar-se ao KDC com os detalhes do usuário no arquivo keytab. Confirme o seguinte:
- o arquivo keytab foi gerado com a senha de conta de usuário SPN correta e foi carregado no Unified Access Gateway
- o endereço IP do aplicativo de back-end e o nome do host foram adicionados corretamente nas entradas de host.
Erro no recebimento do token Kerberos para o usuário: [email protected], erro: erro de delegação de Kerberos: nome do método: gss_acquire_cred_impersonate_name: falha de GSS não especificado. Códigos menores podem fornecer mais informações
"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"
Se esta mensagem for exibida, verifique se:
- A relação de confiança entre os domínios está funcionando.
- O nome SPN de destino está configurado corretamente.