点击此处---> 群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
我有以下情况:
- 服务器在域A(BI 4.2 SP 7)中
- 已围绕域A中的服务帐户配置了WinAD SSO
- 所有需要访问SAP BI的业务用户都驻留在域B中
- 域A和域B位于单独的林中。 没有任何一个正在使用的子域
某些方面正在起作用
- 我可以作为用户从域A或域B(PC在域A中)登录到Universe Designer等客户端工具
- 我可以作为域A的用户手动登录到BI Launchpad(我现在仅对手动登录感兴趣)
- 在服务器上的命令行中,以域A服务帐户身份登录,我可以使用kinit获取user1 @ Domain B的Kerberos票证
- Tomcat干净启动,并获得了我期望的所有Kerberos票证(我的idm.princ是来自域A的服务帐户)
但是,我无法以域B的用户身份手动登录到BI Launchpad。
最终用户收到错误消息"无法识别帐户信息:Active Directory身份验证插件目前无法进行身份验证..."
Webapp_BIlaunchpad_trace.000001.glf显示" GSSException:没有提供有效的凭据(机制级别:无法创建凭据。(63)-没有服务凭据)"
这是我的krb5.ini文件。 我尝试使用任何一项,两项或两项都不行-错误在所有情况下都是相同的。 看不到其他我可以尝试的东西。
[libdefaults] default_realm = DOMAINA.COM dns_lookup_kdc = true dns_lookup_realm = true default_tgs_enctypes = rc4-hmac default_tkt_enctypes = rc4-hmac 转发=真 [领域] DOMAINB.COM = { kdc = DC1.DOMAINB.COM default_domain = DOMAINB.COM} DOMAINA.COM = { kdc = DC1.DOMAINA.COM default_domain = DOMAINA.COM} [无聊] DOMAINA.COM = { DOMAINB.COM =。 } DOMAINB.COM = { DOMAINA.COM =。 }
感谢任何收到的输入。
谢谢,
迈克
因此,事实证明域拓扑不是我所想的。 正在播放第三个域。
DomainA是Forest1中的唯一域,其中包含我要使用的服务器和服务帐户
DomainB和DomainX是Forest2中的根域-需要向SAP BI进行身份验证的用户位于DomainB中
DomainA和DomainX之间存在2路森林信任
DomainB和DomainX之间存在2路树根信任
所以,首先:
-实际上我是否有机会获得这项工作,或者在DomainA和DomainB之间没有林直接信任的情况下注定要失败?
-如果一切顺利,那么这是否是我想要的功能项目?
[capaths]
DOMAINA.COM = {
DOMAINB.COM = DOMAINX.COM
DOMAINX.COM =。
}
DOMAINX.COM = {
DOMAINA.COM =。
DOMAINB.COM =。
}
DOMAINB.COM = {
DOMAINA.COM = DOMAINX.COM
DOMAINX.COM =。
}
非常感谢,
迈克
你好迈克尔·拉迪奇·桑德斯,
似乎这个问题先前已得到回答,您可以在下面浏览有关如何进行配置(高级)的更多信息
https://answers.sap.com/questions/12707200/bi-42-winad-sso-unusual-multiple- domains.html
谢谢
Yogesh
好吧,我尝试了一下,上面建议的capths条目使我可以 手动WinAD SSO可以在BI Launchpad和IDT中使用。
当然,这使我们陷入了沉默的WinAD SSO ...这是坏的。
尽管如此,我希望这能在我的两个林中复制SPN,因此在发布更多内容之前会先将其清除。
谢谢
迈克
嗨,Yogesh,
您引用的问题是我们开始升级到Win2016之前提出的一个问题。 我已经阅读了krb5.ini文件中内容的理论,但是,如上所述,capaths条目似乎对我所看到的行为没有影响,因此我需要进一步的帮助。
谢谢
迈克
一周热门 更多>