2020-09-16 21:37发布
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
嗨,
我想实现Windows AD跨域身份验证,但是在CMC中添加第二个域映射的AD组并从第二个域添加用户时出现错误:错误:secwinAD插件无法查找该帐户 。
来自主域的用户可以毫无问题地向CMC和BI客户端进行身份验证,因此我假定krb5.ini SPN都可以。
我有第二个域组嵌套到默认域组中。 这两个域具有双向林信任。
您是否有一个krb5.ini示例,其中包含2个可以比较的域?
谢谢
Liezl
可以在此处找到Microsoft多林要求的完整详细信息 https://apps.support.sap.com/sap/support/knowledge/preview/zh/1323391 听起来您具有正确的信任设置,但请确保它们实际上是林信任,而不是旧的NT4 "外部信任"。 另外,请确保您以"外部域\ groupsamaccountname"格式添加组。
组映射涉及在CMC>身份验证> Windows AD>中使用DNS通过本地OS API调用发送查询的帐户设置。 如果找不到任何内容,则这些API调用通常会失败
要获取有关失败的详细信息,最简单的方法是使用CMS跟踪KBA https://apps.support.sap.com/sap/support/knowledge/preview/zh/2543957 可以提供帮助。 在CMS日志中,将有一个失败的查询(通常是无法找到的域),然后通常取决于修复DNS
直到用户尝试登录 https://apps.support.sap.com/sap/support/knowledge/preview/zh/1245178 ,但在解决了组映射问题之后,您可能需要查看一下。 >
-Tim
感谢您的回复Tim。 我启用了cms跟踪,这是错误消息:
GetDomainController()-无法为域" 2nddomain"定位DC或域不存在
BindIADsToLDAPFromSid()-获取sid的DC时出错
InitFromNT()-无法绑定" 2ndomain \ groupname"
GetfFromNT()-无法初始化帐户
SecWinAD错误:CAccountEntity:InitFromNTName()中发生错误
在此KBA中 https://apps.support.sap.com/sap/support/knowledge/preview/zh/1886178 有一个可以直接运行Mijcrosoft API的工具,该工具会返回失败的域错误, 正在接收。 您必须完全按照在" 2nddomain"日志中提交的名称来提交名称,而不是以FQDN或其他任何形式提交。 当我们查询时,日志中的这个值是由Microsoft提供给我们的,KBA中列出了它不起作用的一些原因,最简单的解决方法之一是使用来自该域的用户登录到BI服务器。 如果这(暂时)解决了映射问题,则您很可能需要获得Microsoft支持。 我已经遇到过几次这个问题,并且总是归结为DNS问题,通常是因为客户使用的是第三方非Microsoft DNS。
-蒂姆
最多设置5个标签!
可以在此处找到Microsoft多林要求的完整详细信息 https://apps.support.sap.com/sap/support/knowledge/preview/zh/1323391 听起来您具有正确的信任设置,但请确保它们实际上是林信任,而不是旧的NT4 "外部信任"。 另外,请确保您以"外部域\ groupsamaccountname"格式添加组。
组映射涉及在CMC>身份验证> Windows AD>中使用DNS通过本地OS API调用发送查询的帐户设置。 如果找不到任何内容,则这些API调用通常会失败
要获取有关失败的详细信息,最简单的方法是使用CMS跟踪KBA https://apps.support.sap.com/sap/support/knowledge/preview/zh/2543957 可以提供帮助。 在CMS日志中,将有一个失败的查询(通常是无法找到的域),然后通常取决于修复DNS
直到用户尝试登录 https://apps.support.sap.com/sap/support/knowledge/preview/zh/1245178 ,但在解决了组映射问题之后,您可能需要查看一下。 >
-Tim
感谢您的回复Tim。 我启用了cms跟踪,这是错误消息:
GetDomainController()-无法为域" 2nddomain"定位DC或域不存在
BindIADsToLDAPFromSid()-获取sid的DC时出错
InitFromNT()-无法绑定" 2ndomain \ groupname"
GetfFromNT()-无法初始化帐户
SecWinAD错误:CAccountEntity:InitFromNTName()中发生错误
谢谢
Liezl
在此KBA中 https://apps.support.sap.com/sap/support/knowledge/preview/zh/1886178 有一个可以直接运行Mijcrosoft API的工具,该工具会返回失败的域错误, 正在接收。 您必须完全按照在" 2nddomain"日志中提交的名称来提交名称,而不是以FQDN或其他任何形式提交。 当我们查询时,日志中的这个值是由Microsoft提供给我们的,KBA中列出了它不起作用的一些原因,最简单的解决方法之一是使用来自该域的用户登录到BI服务器。 如果这(暂时)解决了映射问题,则您很可能需要获得Microsoft支持。 我已经遇到过几次这个问题,并且总是归结为DNS问题,通常是因为客户使用的是第三方非Microsoft DNS。
-蒂姆
一周热门 更多>