WinAD配置失败

2020-09-08 22:42发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


我正在Windows上为客户端设置4.2 SP6补丁2系统。 我已经根据SAP的文档配置了WinAD身份验证(无SSO),就像我一贯一样。 使用文档中介绍的kinit测试,一切都已正确配置。 我还可以在WinAD身份验证配置屏幕中获取组和用户的列表。

问题是我们无法使用WinAD凭据登录CMC或BI Launchpad。 在登录屏幕上,我看到以下错误消息:

无法识别帐户信息:Active Directory身份验证无法登录。 请与系统管理员联系,以确保您是有效映射组的成员,然后重试。 如果您不是默认域的成员,请输入用户名UserName @ DNS_DomainName,然后重试。 (FWM 00006)

在Tomcat日志中,看到错误"无法找到KDC"。

我使用了我们要迁移到4.2 SP6的3.1系统中的krb5.ini和bcslogin.conf-唯一的区别是,我在krb5.ini中为所有域控制器添加了kdc行,作为对该问题进行故障排除的一部分

由于kinit测试有效,因此我知道krb5.ini文件已正确配置。 我还验证了可以远程登录端口88上的所有5个域控制器。

作为故障排除的一部分,我已经以本地服务帐户(默认)和运行SIA的服务帐户运行Tomcat。

我对其他事物有什么想法吗?

谢谢!

-戴尔

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


我正在Windows上为客户端设置4.2 SP6补丁2系统。 我已经根据SAP的文档配置了WinAD身份验证(无SSO),就像我一贯一样。 使用文档中介绍的kinit测试,一切都已正确配置。 我还可以在WinAD身份验证配置屏幕中获取组和用户的列表。

问题是我们无法使用WinAD凭据登录CMC或BI Launchpad。 在登录屏幕上,我看到以下错误消息:

无法识别帐户信息:Active Directory身份验证无法登录。 请与系统管理员联系,以确保您是有效映射组的成员,然后重试。 如果您不是默认域的成员,请输入用户名UserName @ DNS_DomainName,然后重试。 (FWM 00006)

在Tomcat日志中,看到错误"无法找到KDC"。

我使用了我们要迁移到4.2 SP6的3.1系统中的krb5.ini和bcslogin.conf-唯一的区别是,我在krb5.ini中为所有域控制器添加了kdc行,作为对该问题进行故障排除的一部分

由于kinit测试有效,因此我知道krb5.ini文件已正确配置。 我还验证了可以远程登录端口88上的所有5个域控制器。

作为故障排除的一部分,我已经以本地服务帐户(默认)和运行SIA的服务帐户运行Tomcat。

我对其他事物有什么想法吗?

谢谢!

-戴尔

付费偷看设置
发送
11条回答
clever101
1楼-- · 2020-09-08 23:22

亲爱的戴尔,

我有点困惑:

您配置AD-不使用SSO-对吗? -但是您需要做用于SSO的kninit东西-如果我没记错的话,简单的WIN AD Config不需要用于SSO的krb.ini等...-我假设您的SSO AD配置尚未完成...

从我卑微的角度来看,如果需要,您必须删除所有SSO内容或完成它。

Wobi

灬番茄
2楼-- · 2020-09-08 23:10

我稍稍修正了您的标签,因为这样一来,有机会AUT人们会首先看到它。

95年老男孩
3楼-- · 2020-09-08 22:59

这听起来像是a)指向java选项的错字 tomcat正在使用的krb5,或b)当您测试kinit时,默认情况下使用c:\​​ windows \ krb5.ini,可能是您的tomcat被无效KDC移到了另一个

-Tim

nice_wp
4楼-- · 2020-09-08 22:57

感谢Denis!

shere_lin
5楼-- · 2020-09-08 23:00

如果接收到的内容无法找到KDC,并且没有给您kinit错误的提示,那么您可能会使用其他krb5。 如果使用相同的krb5,您将在kinit中收到相同的错误,因为登录的那部分相同(称为AS请求)。 SPN与该错误无关,它与krb5中的KDC值非常相关。 只是要确保它不是由其他东西生成的,请验证一下tomcat kerberos跟踪。

确保bsclogin.conf如果未添加,则以第二行的debug = true结尾,如果不添加它,然后重新启动tomcat

您还可以在重新启动tomcat进行其他日志记录之前添加-Dsun.security.krb5.debug = true


-Tim


天桥码农
6楼-- · 2020-09-08 23:21

"为BI4配置Active Directory手动身份验证和SSO" pdf的第5节称为"向Java应用服务器配置手动AD身份验证"。 本节的第一部分讨论配置bscLogin.conf和krb5.ini文件,然后讨论在继续配置Tomcat之前使用kinit测试来验证一切是否正常。 因此,我相信您认为这些文件仅用于SSO是不正确的。

一周热门 更多>