Möglicherweise treten Probleme beim Konfigurieren von Certificate-to-Kerberos oder SAML-to-Kerberos in Ihrer Umgebung auf. Sie können diese Probleme anhand mehrerer Verfahren diagnostizieren und korrigieren.

Überwachung des KDC-Server-Zustands und des Back-End-Anwendungsservers

Über die Verwaltungsoberfläche für die Edge-Einstellungen können Sie schnell erkennen, ob die von Ihnen bereitgestellten Dienste konfiguriert und gestartet sind und erfolgreich ausgeführt werden.

Abbildung 1. Integritätsprüfung – Reverse-Proxy-Einstellungen

Vor dem Dienst wird ein Kreis angezeigt. Die Farbcodierung hat die nachfolgende Bedeutung.

  • Roter Kreis: Der Status „Rot“ kann auf Folgendes hinweisen:

    • Konnektivitätsprobleme zwischen Unified Access Gateway und Active Directory

    • Port zwischen Unified Access Gateway und Active Directory blockiert.

      Hinweis:

      Stellen Sie sicher, dass auf dem Active Directory-Computer TCP- und UDP-Port 88 geöffnet ist.

    • Anmeldedaten aus Prinzipalname und Kennwort in der hochgeladenen Keytab-Datei sind möglicherweise nicht korrekt.

  • Grüner Kreis: Der Status „Grün“ bedeutet, dass Unified Access Gateway sich bei Active Directory mit den Anmeldedaten in der Keytab-Datei anmelden kann.

Fehler beim Erstellen von Kerberos-Kontext: Zeitversatz zu groß

Die Fehlermeldung

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

wird angezeigt, wenn die Zeit von Unified Access Gateway und die AD-Serverzeit sehr asynchron sind. Setzen Sie die Zeit auf dem AD-Server zurück, damit sie mit der genauen UTC-Zeit auf Unified Access Gatewayübereinstimmt.

Fehler beim Erstellen von Kerberos-Kontext: Name bzw. Dienst nicht bekannt

Die Fehlermeldung

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known

wird angezeigt, wenn Unified Access Gateway den konfigurierten Bereich nicht erreichen kann oder mit den in der Keytab-Datei angegebenen Benutzerdaten keine Verbindung zu KDC herstellen kann. Überprüfen Sie Folgendes:

  • Die Keytab-Datei wird mit dem korrekten Kennwort für das SPN-Benutzerkonto generiert und zu Unified Access Gateway hochgeladen.

  • Die IP-Adresse der Back-End-Anwendung und der Hostname werden in Hosteinträgen korrekt hinzugefügt.

Fehler beim Empfangen des Kerberos-Tokens für den Benutzer: user@domain.com, Fehler: Kerberos-Delegierungsfehler: Methodenname: Gss_acquire_cred_impersonate_name: Nicht spezifizierter GSS-Fehler. Minor-Code kann weitere Informationen bereitstellen.

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"

Wenn diese Meldung angezeigt wird, überprüfen Sie, ob:

  • die Vertrauenseinstellung zwischen den Domänen funktioniert.

  • Der Ziel-SPN-Name richtig konfiguriert ist.