Erros de resolução de problemas: ponte de identidade

Você pode enfrentar dificuldades ao configurar o Certificado para Kerberos ou o SAML para Kerberos no seu ambiente. Você pode usar vários procedimentos para diagnosticar e corrigir esses problemas.

Monitorando a integridade do servidor KDC e do servidor de aplicativos de back-end.

É possível observar rapidamente que os serviços implantados estão configurados e operando com sucesso a partir da IU do administrador para as configurações de borda.

Figura 1. Verificação de integridade - configurações de proxy reverso

É exibido um círculo antes do serviço. O código de cores é o seguinte:

Círculo vermelho: se o status for vermelho, isso poderá significar uma das opções a seguir.
- Problemas de conectividade entre o Active Directory e o Unified Access Gateway
- Problemas de bloqueio de portas entre o Active Directory e o Unified Access Gateway.
  
  Observação:
  Certifique-se de que a porta 88 TCP e UDP esteja aberta na máquina do Active Directory.
- As credenciais de nome e senha da entidade de segurança podem estar incorretas no arquivo keytab carregado.
Círculo verde: se o status for verde, isso significará que o Unified Access Gateway é capaz de fazer logon no Active Directory com as credenciais fornecidas no arquivo keytab.

Erro ao criar contexto do Kerberos: distorção muito grande do relógio

Esta mensagem de erro:

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

é exibida quando o horário do Unified Access Gateway e o horário do servidor AD estão significativamente fora de sincronia. Redefina o horário no servidor AD para coincidir com a hora UTC exata do Unified Access Gateway.

Erro ao criar contexto do Kerberos: nome ou serviço não conhecido

Esta mensagem de erro:

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known

é exibida quando o Unified Access Gateway não pode acessar o território configurado ou não pode conectar-se ao KDC com os detalhes do usuário no arquivo keytab. Confirme o seguinte:

o arquivo keytab foi gerado com a senha de conta de usuário SPN correta e foi carregado no Unified Access Gateway
o endereço IP do aplicativo de back-end e o nome do host foram adicionados corretamente nas entradas de host.

Erro no recebimento do token Kerberos para o usuário: [email protected], erro: erro de delegação de Kerberos: nome do método: gss_acquire_cred_impersonate_name: falha de GSS não especificado. Códigos menores podem fornecer mais informações

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"

Se esta mensagem for exibida, verifique se:

A relação de confiança entre os domínios está funcionando.
O nome SPN de destino está configurado corretamente.