提问
SAP BusinessObjects - Authentication

BI 4.2 WinAD SSO-无法在远程林中对用户进行身份验证

2020-08-31 15:47发布

站内问答 / BO
766 4 4

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

我有以下情况:

  • 服务器在域A(BI 4.2 SP 7)中
  • 已围绕域A中的服务帐户配置了WinAD SSO
  • 所有需要访问SAP BI的业务用户都驻留在域B中
  • 域A和域B位于单独的林中。 没有任何一个正在使用的子域

某些方面正在起作用

  • 我可以作为用户从域A或域B(PC在域A中)登录到Universe Designer等客户端工具
  • 我可以作为域A的用户手动登录到BI Launchpad(我现在仅对手动登录感兴趣)
  • 在服务器上的命令行中,以域A服务帐户身份登录,我可以使用kinit获取user1 @ Domain B的Kerberos票证
  • Tomcat干净启动,并获得了我期望的所有Kerberos票证(我的idm.princ是来自域A的服务帐户)

但是,我无法以域B的用户身份手动登录到BI Launchpad。

最终用户收到错误消息"无法识别帐户信息:Active Directory身份验证插件目前无法进行身份验证..."

Webapp_BIlaunchpad_trace.000001.glf显示" GSSException:没有提供有效的凭据(机制级别:无法创建凭据。(63)-没有服务凭据)"

这是我的krb5.ini文件。 我尝试使用任何一项,两项或两项都不行-错误在所有情况下都是相同的。 看不到其他我可以尝试的东西。

 [libdefaults]
 default_realm = DOMAINA.COM
 dns_lookup_kdc = true
 dns_lookup_realm = true
 default_tgs_enctypes = rc4-hmac
 default_tkt_enctypes = rc4-hmac
 转发=真

 [领域]
 DOMAINB.COM = {
 kdc = DC1.DOMAINB.COM
 default_domain = DOMAINB.COM}
 DOMAINA.COM = {
 kdc = DC1.DOMAINA.COM
 default_domain = DOMAINA.COM}

 [无聊]
 DOMAINA.COM = {
 DOMAINB.COM =。
 }
 DOMAINB.COM = {
 DOMAINA.COM =。
 }

感谢任何收到的输入。

谢谢,

迈克

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

我有以下情况:

  • 服务器在域A(BI 4.2 SP 7)中
  • 已围绕域A中的服务帐户配置了WinAD SSO
  • 所有需要访问SAP BI的业务用户都驻留在域B中
  • 域A和域B位于单独的林中。 没有任何一个正在使用的子域

某些方面正在起作用

  • 我可以作为用户从域A或域B(PC在域A中)登录到Universe Designer等客户端工具
  • 我可以作为域A的用户手动登录到BI Launchpad(我现在仅对手动登录感兴趣)
  • 在服务器上的命令行中,以域A服务帐户身份登录,我可以使用kinit获取user1 @ Domain B的Kerberos票证
  • Tomcat干净启动,并获得了我期望的所有Kerberos票证(我的idm.princ是来自域A的服务帐户)

但是,我无法以域B的用户身份手动登录到BI Launchpad。

最终用户收到错误消息"无法识别帐户信息:Active Directory身份验证插件目前无法进行身份验证..."

Webapp_BIlaunchpad_trace.000001.glf显示" GSSException:没有提供有效的凭据(机制级别:无法创建凭据。(63)-没有服务凭据)"

这是我的krb5.ini文件。 我尝试使用任何一项,两项或两项都不行-错误在所有情况下都是相同的。 看不到其他我可以尝试的东西。

 [libdefaults]
 default_realm = DOMAINA.COM
 dns_lookup_kdc = true
 dns_lookup_realm = true
 default_tgs_enctypes = rc4-hmac
 default_tkt_enctypes = rc4-hmac
 转发=真

 [领域]
 DOMAINB.COM = {
 kdc = DC1.DOMAINB.COM
 default_domain = DOMAINB.COM}
 DOMAINA.COM = {
 kdc = DC1.DOMAINA.COM
 default_domain = DOMAINA.COM}

 [无聊]
 DOMAINA.COM = {
 DOMAINB.COM =。
 }
 DOMAINB.COM = {
 DOMAINA.COM =。
 }

感谢任何收到的输入。

谢谢,

迈克

付费偷看设置
发送
4条回答
木偶小白
1楼-- · 2020-08-31 16:20

因此,事实证明域拓扑不是我所想的。 正在播放第三个域。

DomainA是Forest1中的唯一域,其中包含我要使用的服务器和服务帐户

DomainB和DomainX是Forest2中的根域-需要向SAP BI进行身份验证的用户位于DomainB中

DomainA和DomainX之间存在2路森林信任

DomainB和DomainX之间存在2路树根信任

所以,首先:

-实际上我是否有机会获得这项工作,或者在DomainA和DomainB之间没有林直接信任的情况下注定要失败?

-如果一切顺利,那么这是否是我想要的功能项目?

[capaths]

DOMAINA.COM = {

DOMAINB.COM = DOMAINX.COM

DOMAINX.COM =。

}

DOMAINX.COM = {

DOMAINA.COM =。

DOMAINB.COM =。

}

DOMAINB.COM = {

DOMAINA.COM = DOMAINX.COM

DOMAINX.COM =。

}

非常感谢,

迈克

大道至简
2楼-- · 2020-08-31 16:08

你好迈克尔·拉迪奇·桑德斯

似乎这个问题先前已得到回答,您可以在下面浏览有关如何进行配置(高级)的更多信息

https://answers.sap.com/questions/12707200/bi-42-winad-sso-unusual-multiple- domains.html

谢谢

Yogesh

何必丶何苦呢
3楼-- · 2020-08-31 16:24

好吧,我尝试了一下,上面建议的capths条目使我可以 手动WinAD SSO可以在BI Launchpad和IDT中使用。

当然,这使我们陷入了沉默的WinAD SSO ...这是坏的。

尽管如此,我希望这能在我的两个林中复制SPN,因此在发布更多内容之前会先将其清除。

谢谢

迈克

Nan4612
4楼-- · 2020-08-31 16:25

嗨,Yogesh,

您引用的问题是我们开始升级到Win2016之前提出的一个问题。 我已经阅读了krb5.ini文件中内容的理论,但是,如上所述,capaths条目似乎对我所看到的行为没有影响,因此我需要进一步的帮助。

谢谢

迈克

一周热门 更多>

点击此处---> EasySAP.com 一起学习S4 HANA ...