自社環境で Cert-to-Kerberos を構成するときに、問題が発生する場合があります。これらの問題の診断および修正には、さまざまな手順を使用できます。

Kerberos コンテキストの作成エラー:クロック スキューが大きすぎます

次のエラー メッセージ:
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

は、Unified Access Gateway の時間と Active Directory サーバの時間の同期が大幅にずれている場合に表示されます。Unified Access Gateway の正確な UTC 時間に一致するように Active Directory サーバ上で時間をリセットします。

Kerberos コンテキストの作成エラー:名前またはサービスが不明です

次のエラー メッセージ:
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known
は、設定したレルムに Unified Access Gateway が到達できないか、キータブ ファイルのユーザーの詳細を使用して KDC に接続できない場合に表示されます。以下を確認します。
  • キータブ ファイルが正しい SPN ユーザー アカウント パスワードを使用して生成され、Unified Access Gateway にアップロードされる。
  • バックエンド アプリケーションの IP アドレスとホスト名がホスト エントリに正しく追加される。

エラー メッセージ:Unable to retrieve client certificate from session: <sessionId>(セッションからクライアント証明書を取得できません:<sessionId>)

このメッセージが表示される場合:
  • X.509 証明書の設定を確認し、構成されているかどうかを判断します。
  • X.509 証明書の設定が構成されている場合:クライアント側のブラウザにインストールされているクライアント証明書をチェックし、X.509 証明書設定の [ルートおよび中間 CA 証明書] フィールドにアップロードされているものと同じ認証局 (CA) によって発行されたものであるかを確認します。

エラー メッセージ:Internal error.Please contact your administrator(内部エラーです。管理者にお問い合わせください。)

/opt/vmware/gateway/logs/authbroker.log でメッセージの詳細を確認します

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will attempt CRL validation"

これは、[X.509 証明書] で構成された OCSP URL にアクセスできない、または正しくない場合に表示されます。

OCSP 証明書が無効の場合のエラー

"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

は、OCSP に対して無効な証明書がアップロードされた場合、または OCSP 証明書が失効した場合に表示されます。

OCSP 応答の検証が失敗した場合のエラー

"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

は、OCSP 応答の検証に失敗すると表示される場合があります。

ユーザーの Kerberos トークンの受信エラー: user@domain.com、エラー: Kerberos 委譲エラー: メソッド名: gss_acquire_cred_impersonate_name: 不明な GSS 障害。マイナー コードに詳細情報が提供されている可能性があります。

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"

このメッセージが表示される場合は、以下を確認してください。
  • ドメイン間の信頼が機能している。
  • ターゲット SPN 名が正しく構成されている。