点击此处--->
群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
大家好,
我们目前已在BI环境中成功配置了AD SSO,并且正在计划升级到SP07 patch3。
我正在尝试使用各种URL入口点(CMC/BI/BILaunchpad)SSO登录到我们的沙盒BI系统,并且出现以下错误:
com.wedgetail.idm.sso.ProtocolException:com.wedgetail.idm.spnego.server.SpnegoException:GSSException:未在GSS-API级别上指定失败(机制级别:com.dstc.security。 kerberos.KerberosException:无法解密密钥类型18,KVNO 25,主体 HTTP/xxx.domain.com@DOMAIN.COM 使用密钥:主体:[1] xxx.BI.Service.SB@DOMAIN.COM 时间戳:星期一,七月 01 13:59:45 BST 2019 KVNO:-1 EncType:18密钥:32字节,指纹= [62 a6 aa 4a 7d ce d 45 de e2 ee 1d 11 48 86 4]此密钥的例外是:com.dstc。 security.kerberos.CryptoException:完整性检查失败[注:主体名称不同;这可能会或可能不会有问题] [注:KVNO使用通配符匹配,而不是完全匹配;也许用于生成此密钥的密码不是最高 最近的密码?])
已检查了现有的SAP注释,大多数参考重复的SPN或错误的密码(在这种情况下不适用)。
奇怪的是-这仅影响我的用户登录BI。 所有其他用户都可以成功进行SSO,实际上只是我的登录受到了影响。 我尝试将用户从BI中完全删除,并允许它在下一个预定的同步计划中重新创建。 这不是本地浏览器问题,因为这发生在多个位置。
有人见过吗? 这让我感到困惑。
欢呼
史蒂夫
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 空代码 的问题《BOBJ 4.2 sp05 patch2上的HTTP 500-jcsi.kerberos:无法解密具有密钥类型的服务票据...》','https://www.easysap.com/q-37219.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
不幸的是,大多数SSO错误都是非常普遍的,因此虽然SPN问题可能是您看到此错误的主要原因,但实际上任何类型的SSO故障都可能是错误的
BI中的任何内容都会影响到 用户,特别是如果您已删除并重新创建。 我想说的是,导致用户失败的最常见原因是由于保存/缓存的凭据(在某些时候,用户/密码被意外缓存到BI服务器) https://support.microsoft.com/ zh-cn/help/306541/如何在没有的计算机上管理用户名和密码,或者如果您的用户所属的广告组比 其他人可能是HTTP标头(如果您不相信自己是更多组的成员,那么不必担心)
如果不是这两个标头,则确实可能存在非常独特的问题。 然后,我将在mmc中查看您的用户设置,并查看帐户属性下是否检查了任何选项。
-Tim
我确实想知道是否在服务器级别缓存了某些内容,因为这似乎是该问题的共同点。
设置SSO时,我确实使用AD用户通过kinit进行票证生成,但此后从默认位置C:\ users \ userx \ krb5cc_xxx清除了此信息
对于服务器不确定的其他区域,我不确定是否可以检查缓存文件,因此最好生成另一个票证并检查整个服务器中最近创建/更改的文件,这可能会有所帮助。
感谢Microsoft URL-我来看一下。
欢呼
Steve
除非进行了重大更改(例如将服务帐户更改为受约束的委派,否则它将过期),否则kerberos票证就不会成为问题。 该链接将永远持续下去,并且当它们妨碍SSO时可能会很烦人,因为它破坏了我们大多数常规的故障排除方法
-Tim
斯蒂芬,您找到解决方案了吗? 我遇到了同样的问题。
嗨,加林,
我将与我们的安全团队交谈-我认为他们可能已经重新配置了我的帐户,从而解决了该问题。 我不再有肯定的问题。
自从这篇文章以来,我写了一个新的故障排除KBA https://apps.support.sap.com/sap/support/knowledge/preview/zh/2820819 确保您正在使用 最新的SSO指南 https://apps.support.sap.com/ sap/support/knowledge/preview/zh/2629070
-蒂姆
一周热门 更多>