点击此处--->
群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
我正在Windows上为客户端设置4.2 SP6补丁2系统。 我已经根据SAP的文档配置了WinAD身份验证(无SSO),就像我一贯一样。 使用文档中介绍的kinit测试,一切都已正确配置。 我还可以在WinAD身份验证配置屏幕中获取组和用户的列表。
问题是我们无法使用WinAD凭据登录CMC或BI Launchpad。 在登录屏幕上,我看到以下错误消息:
无法识别帐户信息:Active Directory身份验证无法登录。 请与系统管理员联系,以确保您是有效映射组的成员,然后重试。 如果您不是默认域的成员,请输入用户名UserName @ DNS_DomainName,然后重试。 (FWM 00006)
在Tomcat日志中,看到错误"无法找到KDC"。
我使用了我们要迁移到4.2 SP6的3.1系统中的krb5.ini和bcslogin.conf-唯一的区别是,我在krb5.ini中为所有域控制器添加了kdc行,作为对该问题进行故障排除的一部分
由于kinit测试有效,因此我知道krb5.ini文件已正确配置。 我还验证了可以远程登录端口88上的所有5个域控制器。
作为故障排除的一部分,我已经以本地服务帐户(默认)和运行SIA的服务帐户运行Tomcat。
我对其他事物有什么想法吗?
谢谢!
-戴尔
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 spaceman01 的问题《WinAD配置失败》','https://www.easysap.com/q-65725.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
亲爱的戴尔,
我有点困惑:
您配置AD-不使用SSO-对吗? -但是您需要做用于SSO的kninit东西-如果我没记错的话,简单的WIN AD Config不需要用于SSO的krb.ini等...-我假设您的SSO AD配置尚未完成...
从我卑微的角度来看,如果需要,您必须删除所有SSO内容或完成它。
Wobi
我稍稍修正了您的标签,因为这样一来,有机会AUT人们会首先看到它。
这听起来像是a)指向java选项的错字 tomcat正在使用的krb5,或b)当您测试kinit时,默认情况下使用c:\ windows \ krb5.ini,可能是您的tomcat被无效KDC移到了另一个
-Tim
感谢Denis!
如果接收到的内容无法找到KDC,并且没有给您kinit错误的提示,那么您可能会使用其他krb5。 如果使用相同的krb5,您将在kinit中收到相同的错误,因为登录的那部分相同(称为AS请求)。 SPN与该错误无关,它与krb5中的KDC值非常相关。 只是要确保它不是由其他东西生成的,请验证一下tomcat kerberos跟踪。
确保bsclogin.conf如果未添加,则以第二行的debug = true结尾,如果不添加它,然后重新启动tomcat
您还可以在重新启动tomcat进行其他日志记录之前添加-Dsun.security.krb5.debug = true
-Tim
"为BI4配置Active Directory手动身份验证和SSO" pdf的第5节称为"向Java应用服务器配置手动AD身份验证"。 本节的第一部分讨论配置bscLogin.conf和krb5.ini文件,然后讨论在继续配置Tomcat之前使用kinit测试来验证一切是否正常。 因此,我相信您认为这些文件仅用于SSO是不正确的。
一周热门 更多>