2020-09-07 22:00发布
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
大家好,
在此过程中,我已经完成了第7步。 至此,所有测试(kinit)均已成功运行。 我还能够将测试组中的AD组成员加入CMS,所以我知道我已经将两者连接了。
在我进入SSO之前,我认为最好为其中一位测试用户知道BI/Infoview的测试登录信息。 它失败了,似乎正在尝试认证为"企业"登录名。 如何测试这些A/D帐户之一。 AD vs Enterprise是否有一些登录屏幕下拉选项?
嗨,杰夫,
是的,当您登录CMS时,应该有一个下拉框来选择您要使用的登录类型。 如果您看不到它给它时间,则取决于有多少用户取决于它要花多长时间...我们以前是成批完成所有这些工作,但它消耗了太多的CPU,所以现在分块进行。 ..
唐
确保您使用的是我们的最新文档, https://apps.support.sap.com/sap/support/knowledge/preview/zh/2629070 第一次登录测试是通过CCM登录 在第2部分的下拉列表中使用AD身份验证。稍后,我们将测试Java,最后是SSO。 按顺序进行非常重要,因为每个部分都是下一个步骤的前提。
-Tim
我已将BOE身份验证标签添加到帖子中。 如果您没有在此处回答,请在SMP中记录一个事件,然后为该组件选择BI-BIP-AUT,然后工程师将帮助您进行设置...
Hi Don,
谢谢! 我意识到,如果我已进行设置的下一步,那么我会得到下拉菜单。 我已经做到了,但是现在遇到了另一个问题。
使用A/D配置SSO的设置(请参阅下面的冗长说明集),我无法使用WindowsAd身份验证与我的A/D用户登录BI Launchpad。 我收到以下错误:
无法识别帐户信息:Active Directory身份验证无法登录。 请与系统管理员联系,以确保您是有效映射组的成员,然后重试。 如果您不是默认域的成员,请输入用户名UserName @ DNS_DomainName,然后重试。 (FWM 00006)
我已完成以下操作以进行故障排除:
1。 验证当我在"身份验证"下的CMC中添加A/D组时,已经创建了用于测试的用户。 确实已添加了用户。
2。 回到kinit测试并使用我的服务帐户bobjsvcs成功测试了
3。 再次测试了kinit,但是这次是与我尝试使用BI Launchpad并在上面的步骤1中进行验证的用户相同。 该kinit也成功(它添加了新票证)。
我正在努力弄清为什么kinit测试适用于A/D帐户,但是BI Launchpad未能通过相同的Windows AD登录。 有进一步解决问题的建议吗?
下面是我配置此文件的整个过程(到目前为止仅完成了第8步)
首先,让我们定义我们的服务器名称和IP(显然,您必须调整它们以及下面的命令以反映您的服务器名称和IP:
第1步
创建一个Active Directory服务帐户biservice(密码:Password1)。 确保用户配置中选中了"密码永不过期"选项。
在BusinessObjects服务器上,将DOMAIN/biservice用户添加到"本地管理员"组。 还要在本地安全策略管理单元中为biservice用户分配正确的"充当操作系统的一部分"。
第2步
在Active Directory服务器上运行以下命令以创建适当的服务主体名称(SPN):
通过运行" setspn -l biservice"验证已创建SPN。
第3步
在Active Directory配置中更改" biservice"用户的用户配置,然后在"委派"选项卡下,打开"信任此用户以委派任何服务(仅Kerberos)"。
第4步
在中央管理控制台的" AD身份验证"区域下,执行以下操作:
单击"保存"以保存所有条目。 检查"组"区域下的内容,以确保已添加您的广告组。
第5步
修改BusinessObjects服务器上的服务器智能代理(SIA)进程,使其以DOMAIN \ biservice用户身份运行。
第6步
通过使用属于该组的AD用户登录Web Intelligence胖客户端进行测试。 一旦选择" Windows AD"身份验证并单击"确定"(无需输入用户名或密码),就应该发生SSO。
步骤7
创建一个名为" bscLogin.conf"的文件,将其保存到BusinessObjects服务器上的C:\ Windows \目录中,然后使用记事本将以下内容放入其中:
com.businessobjects.security.jgss.initiate {com.sun.security.auth.module.Krb5LoginModule必需debug = true;};
创建一个名为" krb5.ini"的文件,将其保存到C:\ Windows \目录,然后使用记事本将以下内容放入其中:
[libdefaults] default_realm = DOMAIN.INTERNALdns_lookup_kdc = truedns_lookup_realm = truedefault_tgs_enctypes = rc4-hmacdefault_tkt_enctypes = rc4-hmacudp_preference_limit = 1 [realms] DOMAIN.INTERNAL_INTERKAIN =内部> DOMAIN。
通过导航到BusinessObjects服务器上的C:\ Program Files(x86)\ SAP BusinessObjects \ SAP BusinessObjects Enterprise XI 4.0 \ win64_x64 \ jdk \ bin \文件夹来验证此文件是否正确完成,并在服务器上执行" kinit biservice" 命令提示符。 如果存储了新票证,则文件正确。
第8步
停止Tomcat。 修改BI Launch Pad的.properties文件以显示身份验证下拉列表。 导航到C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ webapps \ BOE \ WEB-INF \ config \ custom并使用以下文本创建一个名为" BIlaunchpad.properties"的文件:
authentication.visible = trueauthentication.default = secWinAD
打开Tomcat选项,然后将以下行添加到Tomcat Java选项:
-Djava.security.auth.login.config = c:\ windows \ bscLogin.conf-Djava.security.krb5.conf = c:\ windows \ krb5.ini
启动Tomcat,然后尝试手动登录到BusinessObjects,并检查Tomcat跟踪日志中的"提交成功"。
第9步
停止Tomcat。 通过在连接器端口8080标记中添加" maxHttpHeaderSize =" 65536""来修改C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ conf \ server.xml。
导航到C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ webapps \ BOE \ WEB-INF \ config \ custom并创建一个名为" global.properties"的文件,其内容如下:
sso.enabled = truesiteminder.enabled = falsevintela.enabled = trueidm.realm = DOMAIN.INTERNALidm.princ = biserviceidm.allowUnsecured = trueidm.allowNTLM = falseidm.logger.name = simpleidm.logger.props = error-log.properties
打开Tomcat选项将以下行添加到Tomcat Java选项:
-Dcom.wedgetail.idm.sso.password =密码1-Djcsi.kerberos.debug = true
删除C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ logs \和C:\ SBOPWebapp_BIlaunchpad_IP_PORT \中的日志。
启动Tomcat,转到C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ logs \,检查stdout.log是否显示"已获得凭据"。
测试静默单点登录现在在浏览器中(而不是在BusinessObjects服务器上)正在工作。
步骤10
从C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ webapps \ BOE \ WEB-INF \ config \ custom复制BIlaunchpad.properties和global.properties到C:\ Program Files(x86)\ SAP BusinessObjects \ SAP BusinessObjects Enterprise XI 4.0 \ warfiles \ webapps \ BOE \ WEB-INF \ config \ custom以便修补程序不会覆盖它们并且SSO停止工作。
步骤11
通过运行以下命令在AD服务器上创建密钥表:
ktpass -out bosso.keytab -princ biservice@DOMAIN.INTERNAL -pass Password1 -kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
将此文件复制到BOBJ服务器的c:\ windows,然后停止Tomcat。
将以下行添加到C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ webapps \ BOE \ WEB-INF \ config \ custom \ global.properties
idm.keytab = C:/WINDOWS/bosso.keytab
打开Tomcat配置,在Java选项中删除Wedgetail行,重新启动tomcat,并确保"获取的凭据"仍显示在stdout.log中。
现在检查无声单点登录仍然可以正常运行。
第12步
从C:\ windows \ bscLogin.conf文件中删除debug = true,并在" Tomcat配置"的" Java选项"中删除调试行。
最多设置5个标签!
嗨,杰夫,
是的,当您登录CMS时,应该有一个下拉框来选择您要使用的登录类型。 如果您看不到它给它时间,则取决于有多少用户取决于它要花多长时间...我们以前是成批完成所有这些工作,但它消耗了太多的CPU,所以现在分块进行。 ..
唐
确保您使用的是我们的最新文档, https://apps.support.sap.com/sap/support/knowledge/preview/zh/2629070 第一次登录测试是通过CCM登录 在第2部分的下拉列表中使用AD身份验证。稍后,我们将测试Java,最后是SSO。 按顺序进行非常重要,因为每个部分都是下一个步骤的前提。
-Tim
我已将BOE身份验证标签添加到帖子中。 如果您没有在此处回答,请在SMP中记录一个事件,然后为该组件选择BI-BIP-AUT,然后工程师将帮助您进行设置...
Hi Don,
谢谢! 我意识到,如果我已进行设置的下一步,那么我会得到下拉菜单。 我已经做到了,但是现在遇到了另一个问题。
使用A/D配置SSO的设置(请参阅下面的冗长说明集),我无法使用WindowsAd身份验证与我的A/D用户登录BI Launchpad。 我收到以下错误:
无法识别帐户信息:Active Directory身份验证无法登录。 请与系统管理员联系,以确保您是有效映射组的成员,然后重试。 如果您不是默认域的成员,请输入用户名UserName @ DNS_DomainName,然后重试。 (FWM 00006)
我已完成以下操作以进行故障排除:
1。 验证当我在"身份验证"下的CMC中添加A/D组时,已经创建了用于测试的用户。 确实已添加了用户。
2。 回到kinit测试并使用我的服务帐户bobjsvcs成功测试了
3。 再次测试了kinit,但是这次是与我尝试使用BI Launchpad并在上面的步骤1中进行验证的用户相同。 该kinit也成功(它添加了新票证)。
我正在努力弄清为什么kinit测试适用于A/D帐户,但是BI Launchpad未能通过相同的Windows AD登录。 有进一步解决问题的建议吗?
下面是我配置此文件的整个过程(到目前为止仅完成了第8步)
首先,让我们定义我们的服务器名称和IP(显然,您必须调整它们以及下面的命令以反映您的服务器名称和IP:
第1步
创建一个Active Directory服务帐户biservice(密码:Password1)。 确保用户配置中选中了"密码永不过期"选项。
在BusinessObjects服务器上,将DOMAIN/biservice用户添加到"本地管理员"组。 还要在本地安全策略管理单元中为biservice用户分配正确的"充当操作系统的一部分"。
第2步
在Active Directory服务器上运行以下命令以创建适当的服务主体名称(SPN):
通过运行" setspn -l biservice"验证已创建SPN。
第3步
在Active Directory配置中更改" biservice"用户的用户配置,然后在"委派"选项卡下,打开"信任此用户以委派任何服务(仅Kerberos)"。
第4步
在中央管理控制台的" AD身份验证"区域下,执行以下操作:
单击"保存"以保存所有条目。 检查"组"区域下的内容,以确保已添加您的广告组。
第5步
修改BusinessObjects服务器上的服务器智能代理(SIA)进程,使其以DOMAIN \ biservice用户身份运行。
第6步
通过使用属于该组的AD用户登录Web Intelligence胖客户端进行测试。 一旦选择" Windows AD"身份验证并单击"确定"(无需输入用户名或密码),就应该发生SSO。
步骤7
创建一个名为" bscLogin.conf"的文件,将其保存到BusinessObjects服务器上的C:\ Windows \目录中,然后使用记事本将以下内容放入其中:
com.businessobjects.security.jgss.initiate {com.sun.security.auth.module.Krb5LoginModule必需debug = true;};
创建一个名为" krb5.ini"的文件,将其保存到C:\ Windows \目录,然后使用记事本将以下内容放入其中:
[libdefaults] default_realm = DOMAIN.INTERNALdns_lookup_kdc = truedns_lookup_realm = truedefault_tgs_enctypes = rc4-hmacdefault_tkt_enctypes = rc4-hmacudp_preference_limit = 1 [realms] DOMAIN.INTERNAL_INTERKAIN =内部> DOMAIN。
通过导航到BusinessObjects服务器上的C:\ Program Files(x86)\ SAP BusinessObjects \ SAP BusinessObjects Enterprise XI 4.0 \ win64_x64 \ jdk \ bin \文件夹来验证此文件是否正确完成,并在服务器上执行" kinit biservice" 命令提示符。 如果存储了新票证,则文件正确。
第8步
停止Tomcat。 修改BI Launch Pad的.properties文件以显示身份验证下拉列表。 导航到C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ webapps \ BOE \ WEB-INF \ config \ custom并使用以下文本创建一个名为" BIlaunchpad.properties"的文件:
authentication.visible = trueauthentication.default = secWinAD
打开Tomcat选项,然后将以下行添加到Tomcat Java选项:
-Djava.security.auth.login.config = c:\ windows \ bscLogin.conf-Djava.security.krb5.conf = c:\ windows \ krb5.ini
启动Tomcat,然后尝试手动登录到BusinessObjects,并检查Tomcat跟踪日志中的"提交成功"。
第9步
停止Tomcat。 通过在连接器端口8080标记中添加" maxHttpHeaderSize =" 65536""来修改C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ conf \ server.xml。
导航到C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ webapps \ BOE \ WEB-INF \ config \ custom并创建一个名为" global.properties"的文件,其内容如下:
sso.enabled = truesiteminder.enabled = falsevintela.enabled = trueidm.realm = DOMAIN.INTERNALidm.princ = biserviceidm.allowUnsecured = trueidm.allowNTLM = falseidm.logger.name = simpleidm.logger.props = error-log.properties
打开Tomcat选项将以下行添加到Tomcat Java选项:
-Dcom.wedgetail.idm.sso.password =密码1-Djcsi.kerberos.debug = true
删除C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ logs \和C:\ SBOPWebapp_BIlaunchpad_IP_PORT \中的日志。
启动Tomcat,转到C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ logs \,检查stdout.log是否显示"已获得凭据"。
测试静默单点登录现在在浏览器中(而不是在BusinessObjects服务器上)正在工作。
步骤10
从C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ webapps \ BOE \ WEB-INF \ config \ custom复制BIlaunchpad.properties和global.properties到C:\ Program Files(x86)\ SAP BusinessObjects \ SAP BusinessObjects Enterprise XI 4.0 \ warfiles \ webapps \ BOE \ WEB-INF \ config \ custom以便修补程序不会覆盖它们并且SSO停止工作。
步骤11
通过运行以下命令在AD服务器上创建密钥表:
ktpass -out bosso.keytab -princ biservice@DOMAIN.INTERNAL -pass Password1 -kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
将此文件复制到BOBJ服务器的c:\ windows,然后停止Tomcat。
将以下行添加到C:\ Program Files(x86)\ SAP BusinessObjects \ Tomcat6 \ webapps \ BOE \ WEB-INF \ config \ custom \ global.properties
idm.keytab = C:/WINDOWS/bosso.keytab
打开Tomcat配置,在Java选项中删除Wedgetail行,重新启动tomcat,并确保"获取的凭据"仍显示在stdout.log中。
现在检查无声单点登录仍然可以正常运行。
第12步
从C:\ windows \ bscLogin.conf文件中删除debug = true,并在" Tomcat配置"的" Java选项"中删除调试行。
一周热门 更多>