您在环境中配置 Cert-to-Kerberos 时,可能会遇到一些问题。您可以使用各种过程来诊断和修复这些问题。

创建 Kerberos 上下文时出错:时钟偏差太大 (Clock skew too great)

以下错误消息: 
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

Unified Access Gateway 时间与 AD 服务器时间显著不同步时显示。重置 AD 服务器上的时间,使其与 Unified Access Gateway 上的 UTC 时间完全匹配。

创建 Kerberos 上下文时出错:名称或服务未知 (Name or service not known)

以下错误消息: 
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known
Unified Access Gateway 使用 Keytab 文件中的用户详细信息无法访问配置的领域或无法连接到 KDC 时显示。确认以下内容:
  • 已使用正确的 SPN 用户帐户密码生成 Keytab 文件,并已将其上载到 Unified Access Gateway
  • 后端应用程序 IP 地址和主机名已正确添加到主机条目中。

错误消息:无法从以下会话检索客户端证书: <sessionId> (unable to retrieve client certificate from session: <sessionId>)

如果显示此消息:
  • 请检查 X.509 证书设置并确定是否已进行配置
  • 如果配置了 X.509 证书设置:请检查安装在客户端浏览器上的客户端证书,以确定该证书的颁发者是否为 X.509 证书设置中“根和中间 CA 证书”字段上载的同一 CA。

错误消息:内部错误。请联系您的管理员 (Internal error. Please contact your administrator)

/opt/vmware/gateway/logs/authbroker.log 中查找以下消息

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will attempt CRL validation"

此消息表示“X.509 证书”中配置的 OCSP URL 不可访问或不正确。

OCSP 证书无效时发生的错误

"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

当上载了无效的 OCSP 证书,或者 OCSP 证书被吊销时,会显示上述错误。

OCSP 响应验证失败时发生的错误

"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

OCSP 响应验证失败时,有时会显示上述错误。

接收用户 [email protected] 的 Kerberos 令牌时出错,错误: Kerberos 委派错误: 方法名称: gss_acquire_cred_impersonate_name: 未指定的 GSS 失败。次要代码可能会提供更多信息 (Error in receiving Kerberos token for user: [email protected], error: Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Unspecified GSS failure. Minor code may provide more information)

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"

如果显示此消息,请确认:
  • 域之间的信任正常。
  • 目标 SPN 名称配置正确。