点击此处--->
群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
我从另一个国家拥有自己的MS AD的用户现在可以添加
@ domain.name(用于AD登录)。 之前没有必要-每个人都说"什么都没有改变"-Afaik BO Server版本没有被改动-但是哪个"改变"确实导致了这一点:
错误消息:
无法识别帐户信息:Active Directory身份验证失败
登录。 请与您的系统管理员联系,以确保您是
有效映射组的成员,然后重试。 如果您不是
的成员默认域,输入用户名UserName @ DNS_DomainName,然后尝试
再次。 (FWM 00006)
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 xiaosap 的问题《AD用户突然为AD登录添加@ domain.name》','https://www.easysap.com/q-49141.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
如果登录到使用诸如tomcat之类的Java的应用程序,则有一些有关如何处理Java登录的规则。
@FQDNDOMAIN总是发送,但在许多情况下,用户是
如果您仅输入用户名,则应用程序将从CMC>身份验证> Windows AD>默认AD域中获取@FQDNDOMAIN的值。 如果此值正确,则仅使用用户名就可以成功登录。 如果此值不正确(小写,仅显示域名缩写,或已更改为另一个默认域),则用户必须在登录时输入@FQDNDOMAIN。
因此,您只需要 检查该值,并确保它是您想要的值。
-Tim
亲爱的蒂姆,谢谢您的输入。
我很确定我们在所有部署中都使用相同的默认域-但我尝试了您的想法-并没有改变任何东西...
AFAIK的旧工作流程允许从我的家-默认域-以及从外部域登录用户-我知道我不必在登录时进行任何更改,因为它仍会自动完成SSO ...所以我 仍然感到困惑的是,第二个域用户如何找到身份验证而不在正确的-foreign-域中添加@ domain.name ... ...!??
Wobi
您好 Wolfgang Bidner ,
在阅读您的第一篇文章时,我想知道在较早的情况下用户是否可以在没有FQDN的情况下登录。 如果是这样,您可以检查景观中是否添加了其他AD服务器
也请检查您的主机名属性,我的意思是主机全名
此外,还会要求您检查/etc/hosts条目
请检查SAP注意:1202420
下一个要检查的选项,
登录中央管理控制台(CMC)
选择"服务器"
右键单击中央管理服务器(通常称为<主机名> .CentralManagementServer),然后选择属性
< br>更新IP地址或主机名,以反映客户端可以连接到的外部IP地址或主机名( server.example.com 例如)
更新请求端口(6401)
重新启动CMS
谢谢
Kaushik
好,我更新了bsclogin.conf-但由于需要TC重新启动,因此直到周末都要重新启动才能从中获取任何消息...
但是我可以重新配置测试服务器:
标准输出:
本地用户将使用默认域显示-因此失败
[Krb5LoginModule]身份验证失败在Kerberos数据库中找不到客户端(6)调试为true storeKey false useTicketCache false useKeyTab false doNotPrompt false ticketCache为null isInitiator true KeyTab为null refreshKrb5Config为false主体为null tryFirstPass为false useFirstPass为false storePass为 否clearPass为错误[Krb5LoginModule]用户输入
将默认域更改为本地域-
在日志中显示与使用该登录名user@domain.name时相同的正确名称user@domain.name,但失败,并显示以下内容:
[Krb5LoginModule]身份验证失败预身份验证信息无效(24)
有什么结论吗?
Wobi
要清楚,登录的Java AD部分(在其中进入登录页面,选择Windows AD并输入用户名)绝对无法在没有@DNSDOMAIN的情况下登录 并且当然不能允许2个域使用同一域登录。 如果您将CMC域留为空白,则将在幕后追加CMC域,但是必须存在一些内容才能在krb5.ini中找到正确的域
如果在bsclogin.conf中设置了debug = true,则可以看到发送到KDC的实际登录名,DNSDOMAIN是用来在krb5中定位域部分,然后发送的 向列出的KDC的请求。
现在,SSO(无需输入用户名/密码的自动登录)绕过此" java AD进程",并且不关心使用的域,因为它不使用krb5.ini
FWM 00006消息告诉我们的不多,如果您在bsclogin.conf上具有debug = true,则可以查看tomcat stdout.log并查看实际的Java错误消息,并找出真正的错误是什么。 您可以使用kinit进行测试,以将相同的user @ DNSDOMAIN发送给Ad,而无需通过BI。 参见KBA https://apps.support.sap.com/sap/support/knowledge/preview/zh/1245178
在您的情况下,在kerberos数据库中找不到-Tim
客户端意味着输入的用户名不能位于输入的@DOMAIN中(对于无效的用户名,这是一个听起来很糟糕的错误),这非常重要 请注意在用户名上显示的@DOMAIN,如果输入错误,则可以解释为什么找不到用户。 这就是我一直在告诉您的值,它是自动输入的(如果您仅在登录提示中输入用户名,则从CMC中拉出。
预身份验证不是错误,这也是在成功登录时也会出现的警告 所以我们需要的更多信息
-Tim
一周热门 更多>