當您在環境中設定 Cert-to-Kerberos 時,可能會遭遇難題。您可以使用多種程序來診斷和修正這些問題。

建立 Kerberos 內容時發生錯誤:時鐘誤差太大

此錯誤訊息: 
ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

顯示於 Unified Access Gateway 時間與 AD 伺服器時間顯著不同步時。請重設 AD 伺服器上的時間以符合 Unified Access Gateway 上的確切 UTC 時間。

建立 Kerberos 內容時發生錯誤:名稱或服務不明

此錯誤訊息: 
wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known
顯示於 Unified Access Gateway 無法連線至設定的領域,或使用 Keytab 檔案中所提供的使用者詳細資料無法連線至 KDC 時。請確認下列項目:
  • Keytab 檔案使用正確的 SPN 使用者帳戶密碼產生並上傳至 Unified Access Gateway
  • 已將後端應用程式 IP 位址和主機名稱正確新增至主機項目。

錯誤訊息:無法從工作階段擷取用戶端憑證:<sessionId>

如果顯示此訊息:
  • 請檢查 X.509 憑證設定並判斷是否已設定
  • 如果已設定 X.509 憑證設定:請檢查用戶端瀏覽器上安裝的用戶端憑證,以查看是否由 [X.509 憑證] 設定中 [根憑證和中繼 CA 憑證] 欄位上傳的相同 CA 所核發。

錯誤訊息:內部錯誤。請連絡管理員

檢查 /opt/vmware/gateway/logs/authbroker.log 中的訊息

"OSCP validation of CN=clientCert, OU=EUC, O=<org name>, ST=<state name>, C=IN failed with "Could not send OCSP request to responder: Connection refused (Connection refused) , will attempt CRL validation"

這表示「X.509 憑證」中設定的 OCSP URL 無法連線或不正確。

OCSP 憑證無效時發生錯誤

"revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder:http://asdkad01/ocsp". will attempt CRL validation."

顯示於上傳了無效的 OCSP 憑證或是 OCSP 憑證已撤銷時。

OCSP 回應驗證失敗時發生錯誤

"WARN ocsp.BouncyCastleOCSPHandler: Failed to verify OCSP response: CN=asdkAD01.Asdk.ADrevocation.RevocationCheck: 08/23 14:25:49,975" [tomcat-http--26] WARN revocation.RevocationCheck: OSCP validation of CN=clientCert failed with "Could not verify signing certificate for OCSP responder: http://asdkad01/ocsp". will attempt CRL validation."

有時會在 OCSP 回應驗證失敗時顯示。

接收使用者:[email protected] 的 Kerberos Token 時發生錯誤,錯誤:Kerberos 委派錯誤:方法名稱:gss_acquire_cred_impersonate_name:未指定的 GSS 失敗。次要代碼可能會提供更多資訊

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"

如果顯示此訊息,請檢查是否:
  • 網域之間有信任關係。
  • 目標 SPN 名稱已正確設定。