Des problèmes peuvent se produire lorsque vous configurez Certificat sur-Kerberos ou SAML sur Kerberos dans votre environnement. Vous pouvez utiliser diverses procédures pour diagnostiquer et corriger ces problèmes.
Surveiller la santé du serveur KDC et du serveur d'applications principal
Vous pouvez voir rapidement que les services que vous avez déployés sont configurés, actifs et en cours d'exécution à partir de l'interface utilisateur d'administration des paramètres Edge.
Un cercle s'affiche devant le service. Le code couleur est le suivant.
- Cercle rouge : si l'état est rouge, cela peut impliquer un des problèmes suivants.
- Problèmes de connectivité entre Unified Access Gateway et Active Directory
- Problèmes de blocage de ports entre Unified Access Gateway et Active Directory.
Note : Assurez-vous que le port 88 TCP et UDP est ouvert dans la machine exécutant Active Directory.
- Il est possible que le nom et les informations d'identification du serveur principal soient incorrectes dans le fichier keytab téléchargé.
- Cercle vert : si l'état est vert, cela implique qu'Unified Access Gateway peut se connecter à Active Directory avec les informations d'identification fournies dans le fichier keytab.
Erreur lors de la création du contexte Kerberos : variation d'horloge trop importante
Ce message d'erreur :
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Clock skew too great"
s'affiche lorsque l'heure d'Unified Access Gateway et l'heure du serveur AD sont considérablement désynchronisées. Réinitialisez l'heure sur le serveur AD pour qu'elle corresponde à l'heure UTC exacte d'Unified Access Gateway.
Erreur lors de la création du contexte Kerberos : nom ou service inconnu
Ce message d'erreur :
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Name or service not known
s'affiche lorsque
Unified Access Gateway ne peut pas joindre le domaine configuré ou ne peut pas se connecter à KDC avec les détails utilisateur dans le fichier keytab. Vérifiez ce qui suit :
- le fichier keytab est généré avec le mot de passe correct du compte utilisateur SPN et téléchargé sur Unified Access Gateway
- le nom d'hôte et l'adresse IP de l'application principale sont ajoutés correctement dans les entrées de l'hôte.
Erreur lors de la réception du jeton Kerberos pour l’utilisateur : [email protected], erreur : erreur de délégation Kerberos : nom de la méthode : gss_acquire_cred_impersonate_name : échec GSS non spécifié. Un code mineur peut fournir plus d’informations
"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"
Si ce message s’affiche, vérifiez si :
- La relation de confiance entre les domaines fonctionne.
- Le nom SPN cible est configuré correctement.