点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)只提供一些背景知识: 我们正在...
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)只提供一些背景知识: 我们正在...
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
只提供一些背景知识:
我们正在Microsoft Azure中构建一个新的BO服务器。 BO服务器位于 abc.com 域中。
我们已经在 xyz.com 域中创建了服务帐户。 abc.com 和 xyz.com 域(abc是信任域,而xyz是受信任域)。
我们在 xyz.com 的子域中创建了广告组,例如 child1.xyz.com , child2.xyz.com ,依此类推。
在BO服务器上,我们可以ping和nslookup xyz.com 以及子域。 我们能够在本地添加AD组。 我们已经根据白皮书和KBA在SPC中创建了SPN并配置了"身份验证"页面。 我们在CMC中将默认域保留为 xyz.com 。 尝试从 child1.xyz.com 添加组时,出现错误:
secWinAD插件无法为组" child1.xyz.com \ FGG-Global-ZZ-ADGROUP-GS"。 请输入非本地组作为DomainName \ GroupName,将本地组输入\\ ServerName \ GroupName。
在CMS跟踪中,我们看到在CMS日志中,我们看到:WINAD:ADNetworkBinding :: GetDomainController()-无法找到域child1的DC或域不存在。
如果我们尝试从 xyz.com (父域)添加组,则可以添加 组。
您能告诉我我们缺少什么吗?
在组映射的方向上,BI使用Microsoft API,这些API使用LDAP查询和DNS来发现域。 没有信任,这些API将会失败(如您所见),但是您可以通过手动添加DNS信息(可能是主机文件等)来规避这一问题。问题是,您正在为自己设置未经测试的配置,并且您会自行选择 可能会遇到无论您尝试添加什么DNS信息都将无法进行某些通信的问题……因此,使用林信任更安全得多。
现在,在客户端方向上,用户将通过必须具有林信任关系的kerberos进行协商,以便在另一个林中找到SPN请求。 由于您确实对此有信任,所以SSO可以工作。 除了第一个信任关系外,还有更多的规则1首先让SSO在本地林中运行,然后验证远程林中的客户端是否遵循 https://apps.support.sap.com/sap/support/knowledge/preview/zh/1323391 ,例如使用FQDN并验证BI 域(http://* bidomain)在浏览器本地Intranet中。
其他需要注意的问题是浏览器(例如,Win 10上的IE 11只能通过受约束的委派执行SSO)我们不知道此配置是否可以在具有2种方式的林信任的多林中工作。 IE 11凭证守卫将需要删除,但是此问题也会在本地林中发生
Chrome具有相同的问题,但是可以通过在注册表中添加URL来绕过。 在多林KBA中全部提到了
-Tim
一周热门 更多>