点击此处--->
群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
我们目前为我们的四个域设置了SSO,并希望对其进行第五次设置。 我们以前的BO管理员没有留下任何文档,因此我不得不做一些研究,并遇到KB 262970 。
我的问题是,我是否只需要创建一个具有DOMAIN \ UserGroup格式的组,将其添加到CMC中Windows AD中的"添加AD组"部分,在krb5.ini文件中添加必要的行? 还是需要在Windows AD中为新域创建服务帐户?
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 笑淡了就罢 的问题《多个域的SSO-加法》','https://www.easysap.com/q-25008.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
要为多个域配置SSO,应满足的前提条件很少,请参阅KBA 1323391-在具有BI的多个AD林环境中执行kerberos SSO的Microsoft要求是什么。
然后在域5中创建组,并将用户添加到AD域中的组。
使用DOMAIN \ UserGroup格式或使用CN字符串将相同的组添加到BO。
现在krb5.ini文件仅用于手动登录,因此,如果用户需要手动登录,则需要根据KBA 1245178在krb5.ini文件中添加KDC-Java AD中的krb5.ini配置选项 BI应用程序。
对于SSO,完全不需要BO进行任何额外的配置。 所需的所有配置均符合KBA 1323391的先决条件。
也不需要新的服务帐户。 创建的服务帐户应该是已经配置并可以正常使用的主域。
我已将您的标签固定为与主题匹配。
要进行手动操作,您需要在Web应用程序服务器(Tomcat)上的krb5.ini文件中添加与其他域类似的第5个域的DC条目。
理想情况下,建议不要在多个环境中使用相同的服务帐户。 您可以要求AD团队为DEV环境创建新的服务帐户。
此外,考虑到Windows 10中的安全性更改(无法识别不受限制的请求),可以通过委派来配置SSO是安全的。
感谢您的回答。 我在SSO上使用了第5个域,但是我似乎无法将其用于手动登录。 这是现在的问题。
我们以前的管理员使用不受限制的方式来设置SSO,因此,如果用户使用的是Chrome,则他们需要手动登录。我仍然必须测试委派的那个,但是问题是我们要测试的开发服务器, 使用与生产盒相同的服务帐户。 如果我的Active Directory人员将其更改为委托,那么它也会影响生产服务器。
2485300-Windows AD SSO在Windows 10版本的客户端计算机上不起作用
2182400-在BI 4.x中设置约束委派
Hi Don,
确保提供的DC条目正确。 由于SSO正常运行,我认为通信没有任何问题,但是在krb5.ini文件中完成了配置。
对于手动登录,只有krb5.ini负责。
一周热门 更多>