사용자 환경에서 인증서-Kerberos 또는 SAML-Kerberos를 구성할 때 문제를 겪을 수 있습니다. 이러한 문제를 진단하고 해결하는 데 다양한 절차를 사용할 수 있습니다.
KDC 서버 및 백엔드 애플리케이션 서버의 상태 모니터링
Edge 설정에 대한 관리 UI를 통해 배포한 서비스가 구성되어 있고, 작동 및 실행되고 있음을 빠르게 확인할 수 있습니다.
서비스 앞에는 원이 표시됩니다. 색 구분은 다음과 같습니다.
- 빨간색 원: 상태가 빨간색이면 다음 중 하나를 의미할 수 있습니다.
- Unified Access Gateway와 Active Directory 간의 연결 문제
- Unified Access Gateway와 Active Directory 간의 포트 차단 문제
참고: TCP와 UDP 포트 88 둘 다 Active Directory 시스템에서 열려 있는지 확인합니다.
- 업로드된 keytab 파일에서 주체 이름 및 암호 자격 증명이 올바르지 않을 수 있습니다.
- 녹색 원: 상태가 녹색이면 Unified Access Gateway가 keytab 파일에 제공된 자격 증명으로 Active Directory에 로그인할 수 있음을 의미합니다.
Kerberos 컨텍스트를 만드는 중 오류 발생: 클럭 오차 너무 큼
이 오류 메시지:
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Clock skew too great"
Unified Access Gateway 시간과 AD 서버 시간이 현저하게 동기화되지 않은 경우에 표시됩니다. Unified Access Gateway에서 정확한 UTC 시간과 일치하도록 AD 서버의 시간을 재설정하십시오.
Kerberos 컨텍스트를 만드는 중 오류 발생: 이름 또는 서비스를 알 수 없음
이 오류 메시지:
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Name or service not known
Unified Access Gateway이(가) 구성한 영역에 도달할 수 없거나 keytab 파일의 사용자 정보로 KDC에 연결할 수 없을 때 표시됩니다. 다음을 확인:
- keytab 파일이 올바른 SPN 사용자 계정 암호로 생성되어 Unified Access Gateway에 업로드됩니다.
- 백엔드 애플리케이션 IP 주소 및 호스트 이름이 호스트 항목에 올바르게 추가됩니다.
[email protected] 사용자에 대한 Kerberos 토큰을 수신하는 동안 오류가 발생했습니다. Kerberos 위임 오류: 메서드 이름: gss_acquire_cred_impersonate_name: 지정되지 않은 GSS 실패 부 버전 코드에서 자세한 정보를 확인할 수 있습니다.
"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"
이 메시지가 표시되면 다음을 확인하십시오.
- 도메인 간 트러스트가 작동하는지 여부
- 대상 SPN 이름이 올바르게 구성되어 있는지 여부