사용자 환경에서 Cert-to-Kerberos를 구성할 때 문제를 겪을 수 있습니다. 이러한 문제를 진단하고 해결하는 데 다양한 절차를 사용할 수 있습니다.
Kerberos 컨텍스트를 만드는 중 오류 발생: 클럭 오차 너무 큼
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Clock skew too great"
Unified Access Gateway 시간과 AD 서버 시간이 현저하게 동기화되지 않은 경우에 표시됩니다. Unified Access Gateway에서 정확한 UTC 시간과 일치하도록 AD 서버의 시간을 재설정하십시오.
Kerberos 컨텍스트를 만드는 중 오류 발생: 이름 또는 서비스를 알 수 없음
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. Identity bridging may not work javax.security.auth.login.LoginException: Name or service not known
- keytab 파일이 올바른 SPN 사용자 계정 암호로 생성되어 Unified Access Gateway에 업로드됩니다.
- 백엔드 애플리케이션 IP 주소 및 호스트 이름이 호스트 항목에 올바르게 추가됩니다.
오류 메시지: "세션: <sessionId>에서 클라이언트 인증서를 검색할 수 없음"
- X.509 인증서 설정을 확인하고 구성 여부를 결정하십시오.
- X.509 인증서 설정이 구성된 경우: 클라이언트 측 브라우저에 설치된 클라이언트 인증서를 확인하여 X.509 인증서 설정의 "루트 및 중간 CA 인증서" 필드에 업로드된 동일한 CA에서 발급되었는지 확인하십시오.
오류 메시지: 내부 오류입니다. 관리자에게 문의하십시오.
/opt/vmware/gateway/logs/authbroker.log에서 메시지를 확인하십시오.
"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will attempt CRL validation"
이는 "X.509 인증서"에 구성된 OCSP URL에 도달할 수 없거나 올바르지 않음을 나타냅니다.
OCSP 인증서가 유효하지 않은 경우의 오류
"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."
OCSP에 대한 유효하지 않은 인증서가 업로드되거나 OCSP 인증서가 폐기될 때 표시됩니다.
OCSP 응답 확인에 실패하는 경우의 오류
"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."
OCSP 응답 확인에 실패할 때 가끔 표시됩니다.
[email protected] 사용자에 대한 Kerberos 토큰을 수신하는 동안 오류가 발생했습니다. Kerberos 위임 오류: 메서드 이름: gss_acquire_cred_impersonate_name: 지정되지 않은 GSS 실패 부 버전 코드에서 자세한 정보를 확인할 수 있습니다.
"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"
- 도메인 간 트러스트가 작동하는지 여부
- 대상 SPN 이름이 올바르게 구성되어 있는지 여부