Kerberos SSO 失败, 错误 "GSS_S_Failure"

Kerberos SSO 失败, 错误 "GSS_S_Failure"

19182
Created On 09/25/18 19:48 PM - Last Modified 06/01/23 08:53 AM


Resolution


本文检查 SSO 失败错误 "GSS_S_Failure" 的原因。

有关为管理员或固定门户身份验证配置 Kerberos 的信息, 请单击此处

 

 

详细信息:

 

Kerberos SSO 身份验证时, authd 日志中出现错误消息:

 

屏幕截图2016-11-27 在 8.14.27. png

 

 原因 1:

 

-在生成 keytab 时使用的算法不同于使用的算法, 而 TGS 向客户端发出服务票证。

 

屏幕截图2016-11-27 在 8.38.33. png

 

屏幕截图2016-11-27 在 8.29.45. png

 

Keytab 是使用算法 AES256-SHA1 生成的, 而 TGS 向客户端发出的服务票证使用默认算法 RC4-HMAC

 

在这种情况下, 也应该使用默认算法生成 keytab RC4-HMAC 或 Kerberos 管理员应联系以配置相同的算法来颁发服务票证。

 

 

原因 2:

 

窗口/Linux 客户端实例、KDC 和/或防火墙的时差超过了3-4 分钟。要让 SSO 正常运行, 总是最好有同步的时间。
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000CldZCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language