Você pode enfrentar dificuldades ao configurar o certificado para Kerberos no seu ambiente. Você pode usar vários procedimentos para diagnosticar e corrigir esses problemas.
Erro ao criar contexto do Kerberos: distorção muito grande do relógio
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Clock skew too great"
é exibida quando o horário do Unified Access Gateway e o horário do servidor AD estão significativamente fora de sincronia. Redefina o horário no servidor AD para coincidir com a hora UTC exata do Unified Access Gateway.
Erro ao criar contexto do Kerberos: nome ou serviço não conhecido
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Name or service not known
- o arquivo keytab foi gerado com a senha de conta de usuário SPN correta e foi carregado no Unified Access Gateway
- o endereço IP do aplicativo de back-end e o nome do host foram adicionados corretamente nas entradas de host.
Mensagem de erro: não é possível recuperar o certificado do cliente da sessão: <sessionId>
- Verifique as configurações do certificado X.509 e determine se está configurado ou não
- Se o certificado X.509 estiver configurado: verificar o certificado de cliente instalado no navegador do lado do cliente para ver se foi emitido pela mesma CA carregada no campo "Certificados de autoridade de certificação raiz e intermediária" nas configurações do certificado X.509.
Mensagem de erro: Erro interno. Entre em contato com seu administrador
Verifique o /opt/vmware/gateway/logs/authbroker.log da mensagem
"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will attempt CRL validation"
Isso indica que a URL do OCSP configurada no "Certificado X.509" não está acessível ou está incorreta.
Erro quando o certificado do OCSP é inválido
"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."
é exibido quando for carregado um certificado do OCSP inválido ou se o certificado do OCSP for revogado.
Erro quando a verificação de resposta do OCSP falhar
"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."
é exibido às vezes quando a verificação de resposta do OCSP falha.
Erro no recebimento do token Kerberos para o usuário: [email protected], erro: erro de delegação de Kerberos: nome do método: gss_acquire_cred_impersonate_name: falha de GSS não especificado. Códigos menores podem fornecer mais informações
"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"
- A relação de confiança entre os domínios está funcionando.
- O nome SPN de destino está configurado corretamente.