自社環境で Kerberos に対する証明書または SAML-to-Kerberos を構成するときに、問題が発生する場合があります。これらの問題の診断および修正には、さまざまな手順を使用できます。

KDC サーバとバックエンド アプリケーション サーバの健全性を監視。

管理ユーザー インターフェイスの [Edge 設定] から、デプロイされたサービスが設定され、正常に実行していることを素早く確認することができます。
図 1. 健全性チェック - リバース プロキシ設定
サービスの前に丸印が表示されます。色の意味は以下のとおりです。
  • 赤色の丸印:ステータスが赤色の場合は、以下のいずれかの可能性があることを示します。
    • Unified Access Gateway と Active Directory 間の接続の問題
    • Unified Access Gateway と Active Directory 間のポートのブロックの問題
      注: TCP および UDP ポート 88 が Active Directory マシンで開かれていることを確認します。
    • アップロードされたキータブ ファイルのプリンシパル名とパスワードの認証情報が正しくない可能性があります。
  • 緑色の丸印:ステータスが緑色の場合は、Unified Access Gateway がキータブ ファイルで提供されている認証情報を使用して Active Directory にログインできることを意味します。

Kerberos コンテキストの作成エラー:クロック スキューが大きすぎます

次のエラー メッセージ:
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

は、Unified Access Gateway の時間と Active Directory サーバの時間の同期が大幅にずれている場合に表示されます。Unified Access Gateway の正確な UTC 時間に一致するように Active Directory サーバ上で時間をリセットします。

Kerberos コンテキストの作成エラー:名前またはサービスが不明です

次のエラー メッセージ:
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known
は、設定したレルムに Unified Access Gateway が到達できないか、キータブ ファイルのユーザーの詳細を使用して KDC に接続できない場合に表示されます。以下を確認します。
  • キータブ ファイルが正しい SPN ユーザー アカウント パスワードを使用して生成され、Unified Access Gateway にアップロードされる。
  • バックエンド アプリケーションの IP アドレスとホスト名がホスト エントリに正しく追加される。

ユーザーの Kerberos トークンの受信エラー: user@domain.com、エラー: Kerberos 委譲エラー: メソッド名: gss_acquire_cred_impersonate_name: 不明な GSS 障害。マイナー コードに詳細情報が提供されている可能性があります。

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"

このメッセージが表示される場合は、以下を確認してください。
  • ドメイン間の信頼が機能している。
  • ターゲット SPN 名が正しく構成されている。