Solución de problemas de certificado a kerberos

Es posible que surjan problemas a la hora de configurar certificado a kerberos en su entorno. Si esto ocurriera, tiene a su disposición varios procedimientos para diagnosticar y solucionar estos problemas.

Error al crear el contexto de kerberos: el sesgo de reloj es demasiado grande

Este mensaje de error:

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

aparece cuando el desfase de la hora de Unified Access Gateway y del servidor de AD es bastante grande. Restablezca la hora del servidor de AD para que coincida con la hora UTC exacta de Unified Access Gateway.

Error al crear el contexto de kerberos: nombre o servicio desconocidos

Este mensaje de error:

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known

se muestra cuando Unified Access Gateway no puede conectarse al dominio kerberos configurado, o cuando no puede conectarse a KDC con la información de usuario del archivo keytab. Confirme lo siguiente:

el archivo keytab se ha generado con la contraseña de cuenta de usuario SPN correcta y se ha cargado en Unified Access Gateway;
el nombre de host y la dirección IP de la aplicación de back-end se ha agregado correctamente a las entradas de host.

Mensaje de error: No se puede recuperar el certificado de cliente de sesión: <sessionId>

Si aparece este mensaje:

Compruebe la configuración del certificado X.509 y determinar si se ha configurado.
Si se ha configurado el certificado X.509: compruebe el certificado de cliente instalado en el navegador del lado cliente para ver si ha sido emitido por la misma CA cargada en el campo "Certificados de CA intermedio y raíz" en la configuración del certificado X.509.

Mensaje de error: Error interno. Póngase en contacto con el administrador

Busque el mensaje en el archivo /opt/vmware/gateway/logs/authbroker.log.

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will not attempt CRL validation"

Esto indica que no se puede acceder a la dirección URL de OCSP configurada en "Certificado X.509", o que no es correcta.

Error cuando el certificado OCSP no es válido

"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

se muestra cuando se carga un certificado no válido para OCSP, o si se revocó el certificado OCSP.

Error cuando falla la comprobación de respuesta de OCSP

"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

se muestra a veces cuando falla la comprobación de respuesta de OCSP.