Kerberos 的特别注意事项
如果您的安全策略使用 Windows,则您使用的是 Kerberos 身份验证域。对于 Kerberos 域,有些事项和设置步骤需要特别注意。
其他域设置
如果您正在使用具有 Windows 安全域的安全方案,请在 security.properties 中取消对以下特性的注释并指定其值:
mks.security.kerberosRealmName
mks.security.kdcAddress
mks.security.kdcAddress
排除故障
如果未正确设置 Kerberos,则日志文件或调试信息中可能会出现以下出错消息。
 |
要启用调试,请添加 mks.security.debug=true 至 security.properties。
|
• ERROR(0): No valid credentials provided (Mechanism level: Server not found in Kerberos database (7))
如果此出错消息显示在客户端日志文件中,则您的 mks.security.clientServiceName 设置不正确。使设置指定 PTC RV&S Server 运行时所采用的用户名称。
• ERROR(0): No valid credentials provided (Mechanism level: Failed to find any Kerberos Ticket)
如果此错误出现在客户端日志文件中,则 mks.security.kerberosRealmName 或者 mks.security.kdcAddress 设置错误,例如,域名称未以大写形式输入。
• DEBUG(10): Login exception encountered while attempting authentication of user ldaprealmtest1 via policy default-policy. Details of exception Pre-authentication information was invalid (24)
在尝试使用 windows_clear 或 windows_private 安全策略进行身份验证时,如果服务器日志中出现此出错消息,则 security.properties 中的 mks.security.kerberosRealmName 或 mks.security.kdcAddress 设置的大小写有误。
• DEBUG(10): Login exception encountered while attempting authentication of user ldaprealmtest1 via policy default-policy. Details of exception Clock skew too great (37)
在尝试使用 windows_clear 或 windows_private 安全策略进行身份验证时,如果服务器日志中出现此出错消息,则服务器上的时钟与您客户端计算机上的时钟不同步。要使 Kerberos 身份验证域正常工作,服务器和客户端时钟必须同步 (在合理的时间内)。
有关其他故障排除信息,请访问以下网页: