AD用户突然为AD登录添加@ domain.name

2020-09-02 15:16发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


我从另一个国家拥有自己的MS AD的用户现在可以添加

@ domain.name(用于AD登录)。 之前没有必要-每个人都说"什么都没有改变"-Afaik BO Server版本没有被改动-但是哪个"改变"确实导致了这一点:

错误消息:

无法识别帐户信息:Active Directory身份验证失败

登录。 请与您的系统管理员联系,以确保您是

有效映射组的成员,然后重试。 如果您不是

的成员

默认域,输入用户名UserName @ DNS_DomainName,然后尝试

再次

。 (FWM 00006)

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


我从另一个国家拥有自己的MS AD的用户现在可以添加

@ domain.name(用于AD登录)。 之前没有必要-每个人都说"什么都没有改变"-Afaik BO Server版本没有被改动-但是哪个"改变"确实导致了这一点:

错误消息:

无法识别帐户信息:Active Directory身份验证失败

登录。 请与您的系统管理员联系,以确保您是

有效映射组的成员,然后重试。 如果您不是

的成员

默认域,输入用户名UserName @ DNS_DomainName,然后尝试

再次

。 (FWM 00006)

付费偷看设置
发送
6条回答
哎,真难
1楼-- · 2020-09-02 16:12

如果登录到使用诸如tomcat之类的Java的应用程序,则有一些有关如何处理Java登录的规则。

@FQDNDOMAIN总是发送,但在许多情况下,用户是

如果您仅输入用户名,则应用程序将从CMC>身份验证> Windows AD>默认AD域中获取@FQDNDOMAIN的值。 如果此值正确,则仅使用用户名就可以成功登录。 如果此值不正确(小写,仅显示域名缩写,或已更改为另一个默认域),则用户必须在登录时输入@FQDNDOMAIN。

因此,您只需要 检查该值,并确保它是您想要的值。

-Tim

wang628962
2楼-- · 2020-09-02 16:20

亲爱的蒂姆,谢谢您的输入。

我很确定我们在所有部署中都使用相同的默认域-但我尝试了您的想法-并没有改变任何东西...

AFAIK的旧工作流程允许从我的家-默认域-以及从外部域登录用户-我知道我不必在登录时进行任何更改,因为它仍会自动完成SSO ...所以我 仍然感到困惑的是,第二个域用户如何找到身份验证而不在正确的-foreign-域中添加@ domain.name ... ...!??
Wobi

clever101
3楼-- · 2020-09-02 16:16

您好 Wolfgang Bidner

在阅读您的第一篇文章时,我想知道在较早的情况下用户是否可以在没有FQDN的情况下登录。 如果是这样,您可以检查景观中是否添加了其他AD服务器

也请检查您的主机名属性,我的意思是主机全名

此外,还会要求您检查/etc/hosts条目

请检查SAP注意:1202420

下一个要检查的选项,

登录中央管理控制台(CMC)

选择"服务器"

右键单击中央管理服务器(通常称为<主机名> .CentralManagementServer),然后选择属性
< br>更新IP地址或主机名,以反映客户端可以连接到的外部IP地址或主机名( server.example.com 例如)

更新请求端口(6401)

重新启动CMS

谢谢

Kaushik

半个程序猿
4楼-- · 2020-09-02 16:02

好,我更新了bsclogin.conf-但由于需要TC重新启动,因此直到周末都要重新启动才能从中获取任何消息...

但是我可以重新配置测试服务器:

标准输出:

本地用户将使用默认域显示-因此失败

[Krb5LoginModule]身份验证失败在Kerberos数据库中找不到客户端(6)调试为true storeKey false useTicketCache false useKeyTab false doNotPrompt false ticketCache为null isInitiator true KeyTab为null refreshKrb5Config为false主体为null tr​​yFirstPass为false useFirstPass为false storePass为 否clearPass为错误[Krb5LoginModule]用户输入

将默认域更改为本地域-

在日志中显示与使用该登录名user@domain.name时相同的正确名称user@domain.name,但失败,并显示以下内容:

[Krb5LoginModule]身份验证失败预身份验证信息无效(24)

有什么结论吗?

Wobi

shere_lin
5楼-- · 2020-09-02 15:55

要清楚,登录的Java AD部分(在其中进入登录页面,选择Windows AD并输入用户名)绝对无法在没有@DNSDOMAIN的情况下登录 并且当然不能允许2个域使用同一域登录。 如果您将CMC域留为空白,则将在幕后追加CMC域,但是必须存在一些内容才能在krb5.ini中找到正确的域

如果在bsclogin.conf中设置了debug = true,则可以看到发送到KDC的实际登录名,DNSDOMAIN是用来在krb5中定位域部分,然后发送的 向列出的KDC的请求。

现在,SSO(无需输入用户名/密码的自动登录)绕过此" java AD进程",并且不关心使用的域,因为它不使用krb5.ini

FWM 00006消息告诉我们的不多,如果您在bsclogin.conf上具有debug = true,则可以查看tomcat stdout.log并查看实际的Java错误消息,并找出真正的错误是什么。 您可以使用kinit进行测试,以将相同的user @ DNSDOMAIN发送给Ad,而无需通过BI。 参见KBA https://apps.support.sap.com/sap/support/knowledge/preview/zh/1245178

在您的情况下,在kerberos数据库中找不到

-Tim

haha101010
6楼-- · 2020-09-02 16:11

客户端意味着输入的用户名不能位于输入的@DOMAIN中(对于无效的用户名,这是一个听起来很糟糕的错误),这非常重要 请注意在用户名上显示的@DOMAIN,如果输入错误,则可以解释为什么找不到用户。 这就是我一直在告诉您的值,它是自动输入的(如果您仅在登录提示中输入用户名,则从CMC中拉出。

预身份验证不是错误,这也是在成功登录时也会出现的警告 所以我们需要的更多信息

-Tim

一周热门 更多>