Kerberos 和 Kerberos SSO 故障排除

服务器配置 > 安装后的服务器安全性 > Kerberos 和 Kerberos 单一登录的特别注意事项 > Kerberos 和 Kerberos SSO 故障排除

本节提供了有关 Kerberos 和 Kerberos SSO 故障排除的信息。

如果未正确设置 Kerberos 或 Kerberos SSO，则日志文件或调试信息中可能会显示以下出错消息。

要打开调试，请将 mks.security.debug=true 添加到 security.properties。

• ERROR(0): No valid credentials provided (Mechanism level: Server not found in Kerberos database (7)).

如果此出错消息出现在客户端日志文件中，则您的 mks.security.clientServiceName 的设置不正确。请确保将其设置为 Windchill RV&S 服务器运行时所采用的用户名称。

• WARNING(0): The registry key required to support Kerberos Single-Sign-On is missing. You may wish to add them manually.

WARNING(0): Integrity Server does not allow registry key to be automatically added. Either add the key manually or consult your Integrity Server administrator.

WARNING(0): On Windows Server 2000 and 2003 the key "allowtgtsessionkey" in HKEY_LOCAL_MACHINESystem\CurrentControlSet\ Control\Lsa\Kerberos\Parameters with value 1 should be added (reboot may be required).

如果这些出错消息中的任何一个出现在客户端日志文件中，则表示缺少客户端注册表项。

• ERROR(0): No valid credentials provided (Mechanism level: Failed to find any Kerberos Ticket).

如果此错误出现在客户端日志文件中，则 mks.security.kerberosRealmName 或者 mks.security.kdcAddress 设置错误，例如，域名称未以大写形式输入。

• 15:52:35,661 INFO [IntegrityServer] DEBUG(10): Login exception encountered while attempting authentication of user kmorton via policy default-policy. Details of exception No valid credentials provided (Mechanism level: Failed to find any Kerberos Key).

如果此出错消息出现在服务器端日志文件中，则 mks.security.SPN 设置与 ktpass 命令中给出的 -princ 选项不匹配。

• 17:37:03,208 INFO [STDOUT] error Message is Client not found in Kerberos database.

如果此出错消息出现在 Kerberos 调试信息中，则密钥表文件存在问题。它可能包含无效的主体名称，或者 mks.security.SPN 设置可能与 ktpass 命令中给出的 -princ 选项不匹配。

• DEBUG(10): Login exception encountered while attempting authentication of user ldaprealmtest1 via policy default-policy. Details of exception Pre-authentication information was invalid (24).

在尝试使用 windows_clear 或 windows_private 安全策略进行身份验证时，如果服务器日志中出现此错误，则 security.properties 中的 mks.security.kerberosRealmName 或 mks.security.kdcAddress 设置的大小写有误。

• DEBUG(10): Login exception encountered while attempting authentication of user ldaprealmtest1 via policy default-policy. Details of exception Clock skew too great (37).

在尝试使用 windows_clear 或 windows_private 安全策略进行身份验证时，如果服务器日志中出现此错误，则服务器上的时钟与客户端计算机上的时钟不同步。要使 Kerberos 身份验证域正常工作，服务器和客户端时钟必须同步 (在合理的时间内)。

有关其他故障排除信息，请访问以下网页：

http://docs.oracle.com/javase/8/docs/technotes/guides/security/jgss/tutorials/Troubleshooting.html

这对您有帮助吗?