BI 4.2 WinAD SSO-无法在远程林中对用户进行身份验证

2020-08-31 15:47发布

点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)嗨, 我有以下情况: ...

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

我有以下情况:

  • 服务器在域A(BI 4.2 SP 7)中
  • 已围绕域A中的服务帐户配置了WinAD SSO
  • 所有需要访问SAP BI的业务用户都驻留在域B中
  • 域A和域B位于单独的林中。 没有任何一个正在使用的子域

某些方面正在起作用

  • 我可以作为用户从域A或域B(PC在域A中)登录到Universe Designer等客户端工具
  • 我可以作为域A的用户手动登录到BI Launchpad(我现在仅对手动登录感兴趣)
  • 在服务器上的命令行中,以域A服务帐户身份登录,我可以使用kinit获取user1 @ Domain B的Kerberos票证
  • Tomcat干净启动,并获得了我期望的所有Kerberos票证(我的idm.princ是来自域A的服务帐户)

但是,我无法以域B的用户身份手动登录到BI Launchpad。

最终用户收到错误消息"无法识别帐户信息:Active Directory身份验证插件目前无法进行身份验证..."

Webapp_BIlaunchpad_trace.000001.glf显示" GSSException:没有提供有效的凭据(机制级别:无法创建凭据。(63)-没有服务凭据)"

这是我的krb5.ini文件。 我尝试使用任何一项,两项或两项都不行-错误在所有情况下都是相同的。 看不到其他我可以尝试的东西。

 [libdefaults]
 default_realm = DOMAINA.COM
 dns_lookup_kdc = true
 dns_lookup_realm = true
 default_tgs_enctypes = rc4-hmac
 default_tkt_enctypes = rc4-hmac
 转发=真

 [领域]
 DOMAINB.COM = {
 kdc = DC1.DOMAINB.COM
 default_domain = DOMAINB.COM}
 DOMAINA.COM = {
 kdc = DC1.DOMAINA.COM
 default_domain = DOMAINA.COM}

 [无聊]
 DOMAINA.COM = {
 DOMAINB.COM =。
 }
 DOMAINB.COM = {
 DOMAINA.COM =。
 } 

感谢任何收到的输入。

谢谢,

迈克

4条回答
木偶小白
2020-08-31 16:20

因此,事实证明域拓扑不是我所想的。 正在播放第三个域。

DomainA是Forest1中的唯一域,其中包含我要使用的服务器和服务帐户

DomainB和DomainX是Forest2中的根域-需要向SAP BI进行身份验证的用户位于DomainB中

DomainA和DomainX之间存在2路森林信任

DomainB和DomainX之间存在2路树根信任

所以,首先:

-实际上我是否有机会获得这项工作,或者在DomainA和DomainB之间没有林直接信任的情况下注定要失败?

-如果一切顺利,那么这是否是我想要的功能项目?

[capaths]

DOMAINA.COM = {

DOMAINB.COM = DOMAINX.COM

DOMAINX.COM =。

}

DOMAINX.COM = {

DOMAINA.COM =。

DOMAINB.COM =。

}

DOMAINB.COM = {

DOMAINA.COM = DOMAINX.COM

DOMAINX.COM =。

}

非常感谢,

迈克

一周热门 更多>