自社環境で Kerberos に対する証明書または SAML-to-Kerberos を構成するときに、問題が発生する場合があります。これらの問題の診断および修正には、さまざまな手順を使用できます。
KDC サーバとバックエンド アプリケーション サーバの健全性の監視
管理ユーザー インターフェイスの [Edge 設定] から、デプロイされたサービスが設定され、正常に実行していることを素早く確認することができます。
サービスの前に丸印が表示されます。色の意味は以下のとおりです。
- 赤色の丸印:ステータスが赤色の場合は、以下のいずれかの可能性があることを示します。
- Unified Access Gateway と Active Directory 間の接続の問題
- Unified Access Gateway と Active Directory 間のポートのブロックの問題
注: TCP および UDP ポート 88 が Active Directory マシンで開かれていることを確認します。
- アップロードされたキータブ ファイルのプリンシパル名とパスワードの認証情報が正しくない可能性があります。
- 緑色の丸印:ステータスが緑色の場合は、Unified Access Gateway がキータブ ファイルで提供されている認証情報を使用して Active Directory にログインできることを意味します。
Kerberos コンテキストの作成エラー:クロック スキューが大きすぎます
次のエラー メッセージ:
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Clock skew too great"
は、Unified Access Gateway の時間と Active Directory サーバの時間の同期が大幅にずれている場合に表示されます。Unified Access Gateway の正確な UTC 時間に一致するように Active Directory サーバ上で時間をリセットします。
Kerberos コンテキストの作成エラー:名前またはサービスが不明です
次のエラー メッセージ:
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Name or service not known
は、設定したレルムに
Unified Access Gateway が到達できないか、キータブ ファイルのユーザーの詳細を使用して KDC に接続できない場合に表示されます。以下を確認します。
- キータブ ファイルが正しい SPN ユーザー アカウント パスワードを使用して生成され、Unified Access Gateway にアップロードされる。
- バックエンド アプリケーションの IP アドレスとホスト名がホスト エントリに正しく追加される。
ユーザーの Kerberos トークンの受信エラー: [email protected]、エラー: Kerberos 委譲エラー: メソッド名: gss_acquire_cred_impersonate_name: 不明な GSS 障害。マイナー コードに詳細情報が提供されている可能性があります。
"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"
このメッセージが表示される場合は、以下を確認してください。
- ドメイン間の信頼が機能している。
- ターゲット SPN 名が正しく構成されている。
