Vous pouvez rencontrer des difficultés lorsque vous configurez Cert-to-Kerberos dans votre environnement. Vous pouvez utiliser diverses procédures pour diagnostiquer et corriger ces problèmes.
Erreur lors de la création du contexte Kerberos : variation d'horloge trop importante
Ce message d'erreur :
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Clock skew too great"
s'affiche lorsque l'heure d'Unified Access Gateway et l'heure du serveur AD sont considérablement désynchronisées. Réinitialisez l'heure sur le serveur AD pour qu'elle corresponde à l'heure UTC exacte d'Unified Access Gateway.
Erreur lors de la création du contexte Kerberos : nom ou service inconnu
Ce message d'erreur :
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Name or service not known
s'affiche lorsque Unified Access Gateway ne peut pas joindre le domaine configuré ou ne peut pas se connecter à KDC avec les détails utilisateur dans le fichier keytab. Vérifiez ce qui suit :
le fichier keytab est généré avec le mot de passe correct du compte utilisateur SPN et téléchargé sur Unified Access Gateway
le nom d'hôte et l'adresse IP de l'application principale sont ajoutés correctement dans les entrées de l'hôte.
Message d'erreur : impossible de récupérer le certificat client à partir de la session : <sessionId>
Si ce message s'affiche :
Vérifiez les paramètres de certificat X.509 et déterminez s'ils sont configurés
Si les paramètres du certificat X.509 sont configurés : vérifiez le certificat client installé sur le navigateur côté client pour voir s'il est émis par la même autorité de certification téléchargée dans le champ « Certificats d'autorité de certification racine et intermédiaire » dans les paramètres du certificat X.509.
Message d'erreur : Erreur interne. Contactez l'administrateur
Recherchez le message dans le fichier /opt/vmware/gateway/logs/authbroker.log
"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will attempt CRL validation"
Cela indique que l'URL d'OCSP configurée dans « Certificat X.509 » n'est pas accessible ou incorrecte.
Erreur lorsque le certificat OCSP n'est pas valide
"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."
s'affiche lorsqu'un certificat non valide pour OCSP est téléchargé ou si le certificat OCSP est révoqué.
Erreur lorsque la vérification de la réponse OCSP échoue
"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."
s'affiche parfois lorsque la vérification de la réponse OCSP échoue.
Erreur lors de la réception du jeton Kerberos pour l’utilisateur : [email protected], erreur : erreur de délégation Kerberos : nom de la méthode : gss_acquire_cred_impersonate_name : échec GSS non spécifié. Un code mineur peut fournir plus d’informations
"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"
Si ce message s’affiche, vérifiez si :
La relation de confiance entre les domaines fonctionne.
Le nom SPN cible est configuré correctement.