Möglicherweise treten Probleme beim Konfigurieren von Cert-to-Kerberos in Ihrer Umgebung auf. Sie können diese Probleme anhand mehrerer Verfahren diagnostizieren und korrigieren.

Fehler beim Erstellen von Kerberos-Kontext: Zeitversatz zu groß

Die Fehlermeldung 
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

wird angezeigt, wenn die Zeit von Unified Access Gateway und die AD-Serverzeit sehr asynchron sind. Setzen Sie die Zeit auf dem AD-Server zurück, damit sie mit der genauen UTC-Zeit auf Unified Access Gatewayübereinstimmt.

Fehler beim Erstellen von Kerberos-Kontext: Name bzw. Dienst nicht bekannt

Die Fehlermeldung 
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known
wird angezeigt, wenn Unified Access Gateway den konfigurierten Bereich nicht erreichen kann oder mit den in der Keytab-Datei angegebenen Benutzerdaten keine Verbindung zu KDC herstellen kann. Überprüfen Sie Folgendes:
  • Die Keytab-Datei wird mit dem korrekten Kennwort für das SPN-Benutzerkonto generiert und zu Unified Access Gateway hochgeladen.
  • Die IP-Adresse der Back-End-Anwendung und der Hostname werden in Hosteinträgen korrekt hinzugefügt.

Fehlermeldung: „Clientzertifikat von Sitzung <sessionId> kann nicht abgerufen werden“

Gehen Sie wie nachstehend beschrieben vor, wenn diese Meldung angezeigt wird:
  • Überprüfen Sie die Einstellungen des X.509-Zertifikats und bestimmen Sie, ob es konfiguriert ist.
  • Die Einstellungen des X.509-Zertifikats sind konfiguriert: Überprüfen Sie das Clientzertifikat auf dem clientseitigen Browser, um festzustellen, ob es von derselben Zertifizierungsstelle ausgestellt wurde, die im Feld „Root- und Zwischen-CA-Zertifikate“ in den Einstellungen des X.509-Zertifikats hochgeladen wurde.

Fehlermeldung: Interner Fehler. Wenden Sie sich an Ihren Administrator.

Überprüfen Sie die Datei /opt/vmware/gateway/logs/authbroker.log auf die Meldung.

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will attempt CRL validation"

Das bedeutet, dass die in „X.509-Zertifikat“ konfigurierte OCSP-URL nicht erreichbar oder falsch ist.

Fehler bei ungültigem OCSP-Zertifikat

"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

wird angezeigt, wenn für OCSP ein ungültiges Zertifikat hochgeladen wird, oder wenn das OCSP-Zertifikat widerrufen wird.

Fehler bei fehlgeschlagener Überprüfung der OCSP-Antwort

"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

wird manchmal angezeigt, wenn die Überprüfung der OCSP-Antwort fehlschlägt.

Fehler beim Empfangen des Kerberos-Tokens für den Benutzer: [email protected], Fehler: Kerberos-Delegierungsfehler: Methodenname: Gss_acquire_cred_impersonate_name: Nicht spezifizierter GSS-Fehler. Minor-Code kann weitere Informationen bereitstellen.

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"

Wenn diese Meldung angezeigt wird, überprüfen Sie, ob:
  • die Vertrauenseinstellung zwischen den Domänen funktioniert.
  • Der Ziel-SPN-Name richtig konfiguriert ist.