Möglicherweise treten Probleme beim Konfigurieren von Certificate-to-Kerberos oder SAML-to-Kerberos in Ihrer Umgebung auf. Sie können diese Probleme anhand mehrerer Verfahren diagnostizieren und korrigieren.
Überwachen des Zustands des KDC-Servers und des Backend-Anwendungsservers
Über die Verwaltungsoberfläche für die Edge-Einstellungen können Sie schnell erkennen, ob die von Ihnen bereitgestellten Dienste konfiguriert und gestartet sind und erfolgreich ausgeführt werden.
Vor dem Dienst wird ein Kreis angezeigt. Die Farbcodierung hat die nachfolgende Bedeutung.
- Roter Kreis: Der Status „Rot“ kann auf Folgendes hinweisen:
- Konnektivitätsprobleme zwischen Unified Access Gateway und Active Directory
- Port zwischen Unified Access Gateway und Active Directory blockiert.
Hinweis: Stellen Sie sicher, dass auf dem Active Directory-Computer TCP- und UDP-Port 88 geöffnet ist.
- Anmeldedaten aus Prinzipalname und Kennwort in der hochgeladenen Keytab-Datei sind möglicherweise nicht korrekt.
- Grüner Kreis: Der Status „Grün“ bedeutet, dass Unified Access Gateway sich bei Active Directory mit den Anmeldedaten in der Keytab-Datei anmelden kann.
Fehler beim Erstellen von Kerberos-Kontext: Zeitversatz zu groß
Die Fehlermeldung
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Clock skew too great"
wird angezeigt, wenn die Zeit von Unified Access Gateway und die AD-Serverzeit sehr asynchron sind. Setzen Sie die Zeit auf dem AD-Server zurück, damit sie mit der genauen UTC-Zeit auf Unified Access Gatewayübereinstimmt.
Fehler beim Erstellen von Kerberos-Kontext: Name bzw. Dienst nicht bekannt
Die Fehlermeldung
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Name or service not known
wird angezeigt, wenn
Unified Access Gateway den konfigurierten Bereich nicht erreichen kann oder mit den in der Keytab-Datei angegebenen Benutzerdaten keine Verbindung zu KDC herstellen kann. Überprüfen Sie Folgendes:
- Die Keytab-Datei wird mit dem korrekten Kennwort für das SPN-Benutzerkonto generiert und zu Unified Access Gateway hochgeladen.
- Die IP-Adresse der Back-End-Anwendung und der Hostname werden in Hosteinträgen korrekt hinzugefügt.
Fehler beim Empfangen des Kerberos-Tokens für den Benutzer: [email protected], Fehler: Kerberos-Delegierungsfehler: Methodenname: Gss_acquire_cred_impersonate_name: Nicht spezifizierter GSS-Fehler. Minor-Code kann weitere Informationen bereitstellen.
"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"
Wenn diese Meldung angezeigt wird, überprüfen Sie, ob:
- die Vertrauenseinstellung zwischen den Domänen funktioniert.
- Der Ziel-SPN-Name richtig konfiguriert ist.