点击此处--->   群内免费提供SAP练习系统（在群公告中）

加入QQ群：457200227（SAP S4 HANA技术交流） 群内免费提供SAP练习系统（在群公告中）

嗨，

我有以下情况：

• 服务器在域A（BI 4.2 SP 7）中
• 已围绕域A中的服务帐户配置了WinAD SSO
• 所有需要访问SAP BI的业务用户都驻留在域B中
• 域A和域B位于单独的林中。 没有任何一个正在使用的子域

某些方面正在起作用

• 我可以作为用户从域A或域B（PC在域A中）登录到Universe Designer等客户端工具
• 我可以作为域A的用户手动登录到BI Launchpad（我现在仅对手动登录感兴趣）
• 在服务器上的命令行中，以域A服务帐户身份登录，我可以使用kinit获取user1 @ Domain B的Kerberos票证
• Tomcat干净启动，并获得了我期望的所有Kerberos票证（我的idm.princ是来自域A的服务帐户）

但是，我无法以域B的用户身份手动登录到BI Launchpad。

最终用户收到错误消息"无法识别帐户信息：Active Directory身份验证插件目前无法进行身份验证..."

Webapp_BIlaunchpad_trace.000001.glf显示" GSSException：没有提供有效的凭据（机制级别：无法创建凭据。（63）-没有服务凭据）"

这是我的krb5.ini文件。 我尝试使用任何一项，两项或两项都不行-错误在所有情况下都是相同的。 看不到其他我可以尝试的东西。

 [libdefaults]
 default_realm = DOMAINA.COM
 dns_lookup_kdc = true
 dns_lookup_realm = true
 default_tgs_enctypes = rc4-hmac
 default_tkt_enctypes = rc4-hmac
 转发=真

 [领域]
 DOMAINB.COM = {
 kdc = DC1.DOMAINB.COM
 default_domain = DOMAINB.COM}
 DOMAINA.COM = {
 kdc = DC1.DOMAINA.COM
 default_domain = DOMAINA.COM}

 [无聊]
 DOMAINA.COM = {
 DOMAINB.COM =。
 }
 DOMAINB.COM = {
 DOMAINA.COM =。
 } 

感谢任何收到的输入。

谢谢，

迈克