您在环境中配置证书到 Kerberos 或 SAML 到 Kerberos 时可能会遇到困难。您可以使用各种过程来诊断和修复这些问题。

监控 KDC 服务器和后端应用程序服务器的运行状况。

您可以从 Edge 设置的管理 UI 快速查看您所部署的服务是否已进行配置以及是否已成功启动并在运行。

图 1. 运行状况检查 - 反向代理设置

在服务前显示有一个圆圈。其颜色编码如下所示。

  • 红色圆圈:如果状态为红色,则可能意味着出现了以下某种情况。

    • Unified Access Gateway 与 Active Directory 之间的连接出现了问题

    • Unified Access Gateway 和 Active Directory 之间出现了端口阻止问题。

      注:

      确保在 Active Directory 计算机中同时打开了 TCP 和 UDP 端口 88。

    • 在上载的 Keytab 文件中可能具有不正确的主体名称和密码凭据。

  • 绿色圆圈:如果状态为绿色,则意味着 Unified Access Gateway 能够使用 Keytab 文件中提供的凭据登录到 Active Directory。

创建 Kerberos 上下文时出错:时钟偏差太大 (Clock skew too great)

以下错误消息:

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

Unified Access Gateway 时间与 AD 服务器时间显著不同步时显示。重置 AD 服务器上的时间,使其与 Unified Access Gateway 上的 UTC 时间完全匹配。

创建 Kerberos 上下文时出错:名称或服务未知 (Name or service not known)

以下错误消息:

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known

Unified Access Gateway 使用 Keytab 文件中的用户详细信息无法访问配置的领域或无法连接到 KDC 时显示。确认以下内容:

  • 已使用正确的 SPN 用户帐户密码生成 Keytab 文件,并已将其上载到 Unified Access Gateway

  • 后端应用程序 IP 地址和主机名已正确添加到主机条目中。

接收用户 [email protected] 的 Kerberos 令牌时出错,错误: Kerberos 委派错误: 方法名称: gss_acquire_cred_impersonate_name: 未指定的 GSS 失败。次要代码可能会提供更多信息 (Error in receiving Kerberos token for user: [email protected], error: Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Unspecified GSS failure. Minor code may provide more information)

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"

如果显示此消息,请确认:

  • 域之间的信任正常。

  • 目标 SPN 名称配置正确。