Vous pouvez rencontrer des difficultés lorsque vous configurez Cert-to-Kerberos dans votre environnement. Vous pouvez utiliser diverses procédures pour diagnostiquer et corriger ces problèmes.

Erreur lors de la création du contexte Kerberos : variation d'horloge trop importante

Ce message d'erreur : 
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

s'affiche lorsque l'heure d'Unified Access Gateway et l'heure du serveur AD sont considérablement désynchronisées. Réinitialisez l'heure sur le serveur AD pour qu'elle corresponde à l'heure UTC exacte d'Unified Access Gateway.

Erreur lors de la création du contexte Kerberos : nom ou service inconnu

Ce message d'erreur : 
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known
s'affiche lorsque Unified Access Gateway ne peut pas joindre le domaine configuré ou ne peut pas se connecter à KDC avec les détails utilisateur dans le fichier keytab. Vérifiez ce qui suit :
  • le fichier keytab est généré avec le mot de passe correct du compte utilisateur SPN et téléchargé sur Unified Access Gateway
  • le nom d'hôte et l'adresse IP de l'application principale sont ajoutés correctement dans les entrées de l'hôte.

Message d'erreur : impossible de récupérer le certificat client à partir de la session : <sessionId>

Si ce message s'affiche :
  • Vérifiez les paramètres de certificat X.509 et déterminez s'ils sont configurés
  • Si les paramètres du certificat X.509 sont configurés : vérifiez le certificat client installé sur le navigateur côté client pour voir s'il est émis par la même autorité de certification téléchargée dans le champ « Certificats d'autorité de certification racine et intermédiaire » dans les paramètres du certificat X.509.

Message d'erreur : Erreur interne. Contactez l'administrateur

Recherchez le message dans le fichier /opt/vmware/gateway/logs/authbroker.log

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will not attempt CRL validation"

Cela indique que l'URL d'OCSP configurée dans « Certificat X.509 » n'est pas accessible ou incorrecte.

Erreur lorsque le certificat OCSP n'est pas valide

"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

s'affiche lorsqu'un certificat non valide pour OCSP est téléchargé ou si le certificat OCSP est révoqué.

Erreur lorsque la vérification de la réponse OCSP échoue

"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

s'affiche parfois lorsque la vérification de la réponse OCSP échoue.