L'AUTHENTIFICATION unique Kerberos échoue avec l'erreur'GSS_S_Failure'

L'AUTHENTIFICATION unique Kerberos échoue avec l'erreur'GSS_S_Failure'

19172
Created On 09/25/18 19:48 PM - Last Modified 06/01/23 08:53 AM


Resolution


Cet article examine les raisons de l'authentification unique faliure avec l'erreur'GSS_S_Failure'.

Pour plus d'informations sur la configuration de Kerberos pour admin ou l'authentification de portail captif, veuillez cliquer ici

 

 

Détails:

 

Message d'erreur dans les journaux authentifiés pendant l'authentification SSO de Kerberos:

 

Screen Shot 2016-11-27 à 8.14.27 AM. png

 

 Raison 1:

 

-Algorithme utilisé lors de la génération keytab est différent de l'algorithme utilisé tandis que TGS émet un ticket de service pour les clients.

 

Screen Shot 2016-11-27 à 8.38.33 AM. png

 

Screen Shot 2016-11-27 à 8.29.45 AM. png

 

Keytab a été généré à l'Aide de l'algorithme AES256-SHA1 alors que le ticket de service émis au client par TGS utilise l'algorithme par défaut RC4-HMAC

 

Dans ce cas, soit le keytab doit également être généré en utilisant l'algorithme par défaut RC4-HMAC ou Kerberos administrateur doit être contacté pour configurer le même algorithme pour émettre des tickets de service.

 

 

Raison 2:

 

Window/Linux instance client, KDC et/ou le pare-feu a une différence de temps de plus de ~ 3-4 mins. Il est toujours préférable d'avoir leur temps synchronisé pour que SSO fonctionne correctement.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldZCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language