當您在環境中設定對 Kerberos 的憑證或對 Kerberos 的 SAML 時,可能會遭遇難題。您可以使用多種程序來診斷和修正這些問題。

監控 KDC 伺服器和後端應用程式伺服器的健全狀況。

您可以從管理員 UI 的 [Edge 設定] 中快速查看您部署的服務已設定、啟動並成功執行。

圖 1. 健全狀況檢查 - Reverse Proxy 設定

服務前方會顯示一個圓形。色彩編碼如下所示。

  • 紅色圓形:如果狀態為紅色,則可能表示下列其中一種情況。

    • Unified Access Gateway 與 Active Directory 之間的連線問題

    • Unified Access Gateway 與 Active Directory 之間的連接埠封鎖問題。

      備註:

      確認 Active Directory 機器中已開放 TCP 和 UDP 連接埠 88。

    • 已上傳的 Keytab 檔案中主體名稱和密碼認證可能不正確。

  • 綠色圓形:如果狀態為綠色,則表示 Unified Access Gateway 可以使用 Keytab 檔案中提供的認證來登入 Active Directory。

建立 Kerberos 內容時發生錯誤:時鐘誤差太大

此錯誤訊息:

ERROR:"wsportal.WsPortalEdgeService[createKerberosLoginContext: 119][39071f3d-9363-4e22-a8d9-5e288ac800fe]: Error creating kerberos context. 
Identity bridging may not work
javax.security.auth.login.LoginException: Clock skew too great"

顯示於 Unified Access Gateway 時間與 AD 伺服器時間顯著不同步時。請重設 AD 伺服器上的時間以符合 Unified Access Gateway 上的確切 UTC 時間。

建立 Kerberos 內容時發生錯誤:名稱或服務不明

此錯誤訊息:

wsportal.WsPortalEdgeService[createKerberosLoginContext: 133][]: Error creating kerberos context. 
Identity bridging may not work 
javax.security.auth.login.LoginException: Name or service not known

顯示於 Unified Access Gateway 無法連線至設定的領域,或使用 Keytab 檔案中所提供的使用者詳細資料無法連線至 KDC 時。請確認下列項目:

  • Keytab 檔案使用正確的 SPN 使用者帳戶密碼產生並上傳至 Unified Access Gateway

  • 已將後端應用程式 IP 位址和主機名稱正確新增至主機項目。

接收使用者:user@domain.com 的 Kerberos Token 時發生錯誤,錯誤:Kerberos 委派錯誤:方法名稱:gss_acquire_cred_impersonate_name:未指定的 GSS 失敗。次要代碼可能會提供更多資訊

"Kerberos Delegation Error: Method name: gss_acquire_cred_impersonate_name: Server not found in Kerberos database"

如果顯示此訊息,請檢查是否:

  • 網域之間有信任關係。

  • 目標 SPN 名稱已正確設定。