Es posible que surjan problemas a la hora de configurar el certificado a Kerberos o SAML a Kerberos en su entorno. Si esto ocurriera, tiene a su disposición varios procedimientos para diagnosticar y solucionar estos problemas.

Supervisar el estado del servidor KDC y el servidor de aplicaciones back-end.

Puede consultar rápidamente que los servicios que implementó se configuraron, se activaron y se están ejecutando correctamente desde la interfaz de administrador de la configuración perimetral.

Figura 1. Comprobación de estado: configuración del proxy inverso

Aparece un círculo antes del servicio. El código de colores es el que aparece a continuación.

  • Círculo rojo: si el estado es rojo, podría significar una de las siguientes opciones.

    • Problemas de conectividad entre Unified Access Gateway y Active Directory.

    • Problemas de bloqueo de puertos entre Unified Access Gateway y Active Directory.

      Nota:

      Asegúrese de que el puerto TCP y UDP 88 esté abierto en el equipo de Active Directory.

    • Puede que las credenciales de nombre principal y contraseña sean incorrectas en el archivo keytab cargado.

  • Círculo de color verde: si el estado es de color verde, significa que Unified Access Gateway puede iniciar sesión en Active Directory con las credenciales proporcionadas en el archivo keytab.

Error al crear el contexto de kerberos: el sesgo de reloj es demasiado grande

Este mensaje de error:

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

aparece cuando el desfase de la hora de Unified Access Gateway y del servidor de AD es bastante grande. Restablezca la hora del servidor de AD para que coincida con la hora UTC exacta de Unified Access Gateway.

Error al crear el contexto de kerberos: nombre o servicio desconocidos

Este mensaje de error:

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known

se muestra cuando Unified Access Gateway no puede conectarse al dominio kerberos configurado, o cuando no puede conectarse a KDC con la información de usuario del archivo keytab. Confirme lo siguiente:

  • el archivo keytab se ha generado con la contraseña de cuenta de usuario SPN correcta y se ha cargado en Unified Access Gateway;

  • el nombre de host y la dirección IP de la aplicación de back-end se ha agregado correctamente a las entradas de host.

Error in receiving Kerberos token for user: [email protected], error: Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Unspecified GSS failure. El código secundario puede proporcionar más información

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"

Si aparece este mensaje, compruebe si:

  • La relación de confianza entre los dominios funciona.

  • El nombre SPN de destino está configurado correctamente.