Диагностика проблем Kerberos-аутентификации при настройке технологии единого входа, протокола LDAP

 

Диагностика проблем Kerberos-аутентификации при настройке технологии единого входа, протокола LDAP 

https://support.kaspersky.ru/kwts/6.2/diagnostics/15969#block5

Чтобы диагностировать проблемы синхронизации с LDAP-сервером:

1. Включите трассировку KWTS с уровнем отладки по инструкции.
2. Нажмите Синхронизировать в параметрах соединения с LDAP-сервером по инструкции, чтобы воспроизвести проблему.
3. Примерно через 10-20 минут, в зависимости от размера доменов и их количества, вы можете:
   • проверить журнал на узле с помощью команды:
     grep LdapC /var/log/kwts-traces | less
   • сохранить архив на рабочее место администратора и посмотреть журнал другим способом по инструкции.
4. Выключите трассировку.

Если вы увидите ошибки, определите причину проблемы по таблице ниже.

Ошибка	Причина
25199 ERR cannot retrieve domain data from ldaperror resolving "_ldap._tcp.EXAMPLE.COM", res_query return -1 with 204800 as buffer answer size	В DNS отсутствуют SRV-записи для домена, указанного в keytab-файле.
27327 ERR cannot retrieve domain data from ldapCheckFailedException - Kerberos error (-1765328230): Cannot find KDC for realm "EXAMPLE.COM" - Cannot get initial credentials using a key table. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/krb/kerberos_wrapper.cpp(175)	В DNS есть SRV-записи, но нет A-записей для контроллера домена.
28015 ERR cannot retrieve domain data from ldapCheckFailedException - Kerberos error (-1765328230): Cannot find KDC for realm "EXAMPLE.COM" - Cannot get initial credentials using a key table. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/krb/kerberos_wrapper.cpp(175)	В DNS есть SRV- и A-записи, но отсутствуют PTR-записи для контроллера домена.
28364 ERR cannot retrieve domain data from ldapCheckFailedException - Kerberos error (-1765328230): Cannot find KDC for realm "EXAMPLE.COM" - Cannot get initial credentials using a key table. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/krb/kerberos_wrapper.cpp(175)	PTR-запись в DNS не соответствует A-записи.
40967 ERR cannot retrieve domain data from ldaperror resolving "_ldap._tcp.EXAMPLE.COM", res_query return 16623 with 12800 as buffer answer size	Слишком много SRV-записей, длинный ответ от DNS-сервера.
32626 ERR cannot retrieve domain data from ldapCheckFailedException - Kerberos error (-1765328228): Cannot contact any KDC for realm 'EXAMPLE.COM' - Cannot get initial credentials using a key table. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/krb/kerberos_wrapper.cpp(175)	Невозможно подключиться к контроллеру домена, превышено время ожидания.
33599 ERR cannot retrieve domain data from ldapCheckFailedException - Kerberos error (-1765328228): Cannot contact any KDC for realm 'EXAMPLE.COM' - Cannot get initial credentials using a key table. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/krb/kerberos_wrapper.cpp(175)	Невозможно подключиться к контроллеру домена, отказано в соединении.
36512 ERR cannot retrieve domain data from ldapCheckFailedException - Kerberos error (-1765328237): KDC reply did not match expectations - Cannot get initial credentials using a key table. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/krb/kerberos_wrapper.cpp(175)	Домен в keytab-файле указан в нижнем регистре.
41421 ERR cannot retrieve domain data from ldapCheckFailedException - Kerberos error (-1765328360): Preauthentication failed - Cannot get initial credentials using a key table. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/krb/kerberos_wrapper.cpp(175)	В keytab-файле указан неверный пароль служебной учетной записи, или пароль был изменен после создания keytab-файла. Замена пароля требует пересоздания keytab-файла, даже если пароль идентичен прежнему. Важно очистить SPN в атрибутах сервисного пользователя KWTS, чтобы не создать дубликат SPN-записи.
42131 ERR cannot retrieve domain data from ldapCheckFailedException - Kerberos error (-1765328347): Clock skew too great - Cannot get initial credentials using a key table. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/krb/kerberos_wrapper.cpp(175)	Для служебной учетной записи, указанной в keytab-файле, время входа ограничено расписанием.
42014 ERR cannot retrieve domain data from ldapCheckFailedException - LDAP error (10): Referral - Cannot perform LDAP search operation. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/ldap/connection.cpp(242)	Неправильно указана база поиска (Base DN).
15832 ERR cannot retrieve domain data from ldapCheckFailedException - Kerberos error (-1765328378): Client ['HTTP/kwts5.test.local@TEST.LOCAL'](mailto:'HTTP/kwts5.example.com@EXAMPLE.COM) not found in Kerberos database - Cannot get initial credentials using a key table. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/krb/kerberos_wrapper.cpp(175)	SPN-запись, указанная в keytab-файле, не существует.
2863 ERR CheckFailedException - LDAP error (-2): Local error - Cannot perform LDAP SASL interactive bind operation. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/ldap/connection.cpp(203) 2863 ERR CheckFailedException - LDAP error (-2): Local error - Cannot perform LDAP SASL interactive bind operation. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/ldap/connection.cpp(203) 2863 ERR cannot retrieve domain data from ldapCheckFailedException - Couldn't connect to any server. At /BUILD/PDK/core/ldap_cache.acme/kwts.linux-64/source/ldap/ldap_reader_impl.cpp(111)	Системное время на устройстве с KWTS не синхронизировано с контроллером домена.
33227 DBG trying to connect ldap://example.com:389 33227 WRN Couldn't connect ldap://example.com:389 33227 ERR CheckFailedException - LDAP error (-2): Local error - Cannot perform LDAP SASL interactive bind operation. At /tmp/buildbot/core_ldap_cache-kwts_linux-64/build/source/ldap/connection.cpp(203)	Невозможно подключиться к LDAP-серверу по TCP-порту 389.