在kerberos sso尝试进入Linux上的cms期间,您能否提供任何水晶异常的线索?

2020-09-20 11:12发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


凭据
客户端: boeuser2@WAR.COM
会话密钥:[23,23 db 9d ba bd 47 c3 ad d6 9d 87 a5 95 60 ca 7a]
服务主体: krbtgt/WAR.COM@WAR.COM
:UTC 2018年4月5日星期四11:28:45
有效期至:UTC 2018年4月5日星期二21:28:45可更新至:UTC 2018年4月12日星期四11:28:45 UTC门票:
>加密类型:23
密钥版本号:2
服务主体: krbtgt/WAR.COM@WAR.COM
票证标志:可转发转发的可预授权
适用于:所有地址
++++++++++++++++++++++++++++++++ < br> [DEBUG] Thu Apr 05 14:05:50 UTC 2018 jcsi.kerberos:**创建应用程序响应.. **
使用键
[23,ab c1 a9 e3 e8 73 45 d6 a4 3b d2 9a 53 27 2d ce]
[DEBUG] Thu Apr 05 14:05:50 UTC 2018 jcsi.kerberos:创建了应用程序响应:

++++ KRB-AP-REP消息++++
加密类型:23
序列号:69992197 子会话密钥 :null
客户时间:周四Apr 05 14:05:49 UTC 2018
cusec:3291
+++++++++++++++++++++++++ +++++
com.crystaldecisions.sdk.exception.SDKException $ InvalidArg:该参数在com.crystaldecisions.sdk.occa.security.internal.SecuritySession.decodeSerializedSession处具有无效值null(FWM 02024)
(SecuritySession.java:931)

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


凭据
客户端: boeuser2@WAR.COM
会话密钥:[23,23 db 9d ba bd 47 c3 ad d6 9d 87 a5 95 60 ca 7a]
服务主体: krbtgt/WAR.COM@WAR.COM
:UTC 2018年4月5日星期四11:28:45
有效期至:UTC 2018年4月5日星期二21:28:45可更新至:UTC 2018年4月12日星期四11:28:45 UTC门票:
>加密类型:23
密钥版本号:2
服务主体: krbtgt/WAR.COM@WAR.COM
票证标志:可转发转发的可预授权
适用于:所有地址
++++++++++++++++++++++++++++++++ < br> [DEBUG] Thu Apr 05 14:05:50 UTC 2018 jcsi.kerberos:**创建应用程序响应.. **
使用键
[23,ab c1 a9 e3 e8 73 45 d6 a4 3b d2 9a 53 27 2d ce]
[DEBUG] Thu Apr 05 14:05:50 UTC 2018 jcsi.kerberos:创建了应用程序响应:

++++ KRB-AP-REP消息++++
加密类型:23
序列号:69992197 子会话密钥 :null
客户时间:周四Apr 05 14:05:49 UTC 2018
cusec:3291
+++++++++++++++++++++++++ +++++
com.crystaldecisions.sdk.exception.SDKException $ InvalidArg:该参数在com.crystaldecisions.sdk.occa.security.internal.SecuritySession.decodeSerializedSession处具有无效值null(FWM 02024)
(SecuritySession.java:931)

付费偷看设置
发送
4条回答
闻人可可
1楼 · 2020-09-20 11:57.采纳回答

如果Linux上的CMS不支持kerberos SSO,您正在使用什么方法? 您仍然可以使用Microsoft spnego捕获用户名,使用可信任的auth远程用户使用它登录,并映射LDAP中的组以提供帐户同步。 该错误似乎表明尝试SSO的用户无法委派,但是对于完整的上下文(例如当前配置),需要了解更多信息。

以下是非Windows BI服务器的标准AD SSO配置。 另外请注意,您应该编辑帖子以删除有关您单位的特定用户名和信息

https://apps.support.sap.com/ sap/support/knowledge/preview/zh/1965433

-Tim

hengyuye
2楼-- · 2020-09-20 12:05

这些是我对属性文件的设置

Vintela京东方

sso.types.and.order = trustedVintela bilaunchpad.properties

siteminder.enabled = false global.properties

sso.enabled = true全局属性

vintela.enabled =真实的global.properties

idm.realm = WAR.COM global.properties

idm.princ = bosso_svc_acct global.properties

idm.allowS4U = true global.properties

idm.password = War1 global.properties

idm.allow.Unsecured = true global.properties

idm.allowNTLM = false global.properties

idm.logger.name =简单的global.properties

idm.logger.props = error-log.properties global.properties

idm.keytab =/etc/krb5.keytab global.properties

-我对kerberos遇到的另一个问题是,当我删除idm.password设置(允许它使用kerberos密码)时,它将无法工作。 如果我没记错的话,那是加密错误。 我相信Windows生成的krb5.keytab可能与Linux不兼容。 我让服务器为我生成了密钥表,然后它在没有嵌入式密码的情况下也可以工作。

1)在当前"密钥"标签中列出主体和加密类型:

[root @ BOEHOST等]#klist -e -k krb5.keytab

键标签名称:FILE:krb5.keytab

KVNO负责人

---- ------------------------------------------- -------------------------------

11 bosso_svc_acct@WAR.COM (des-cbc-crc)

11 bosso_svc_acct@WAR.COM (des-cbc-md5)

11 bosso_svc_acct@WAR.COM (arcfour-hmac)

11 bosso_svc_acct@WAR.COM (aes256-cts-hmac-sha1-96)

11 bosso_svc_acct@WAR.COM (aes128-cts-hmac-sha1-96)

2)从域服务器获取凭据:

[root @ BOEHOST等]#kinit bosso_svc_acct

bosso_svc_acct@WAR.COM的密码

3)列出获得的凭据和加密类型:

[root @ BOEHOST等]#klist -e

门票缓存:KEYRING:永久性:0:0

默认主体: bosso_svc_acct@WAR.COM

有效的启动到期服务主体

04/12/2018 00:57:24 04/12/2018 10:57:24 krbtgt/WAR.COM@WAR.COM

续签至2018年4月19日00:57:19,Etype(skey,tkt):aes256-cts-hmac-sha1-96,aes256-cts-hmac-sha1-96

4)让服务器为我创建一个密钥表(将当前密钥表重命名为备份)

网络广告关键标签创建-k

5)在当前"密钥"标签中列出主体和加密类型:(大不同!)

---在此新的密钥表文件中使用了未嵌入的服务名称密码!

[root @ BOEHOST等]#klist -ke krb5.keytab

密钥表名称:FILE:krb5.keytab

KVNO校长

---- ------------------------------------------- -------------------------------

11 bosso_svc_acct@WAR.COM (des-cbc-crc)

11 bosso_svc_acct@WAR.COM (des-cbc-md5)

11 bosso_svc_acct@WAR.COM (arcfour-hmac)

11 bosso_svc_acct@WAR.COM (aes256-cts-hmac-sha1-96)

11 bosso_svc_acct@WAR.COM (aes128-cts-hmac-sha1-96)

2 host/boehost.war.com@WAR.COM (des-cbc-crc)

2 host/boehost@WAR.COM (des-cbc-crc)

2 host/boehost.war.com@WAR.COM (des-cbc-md5)

2 host/boehost@WAR.COM (des-cbc-md5)

2 host/boehost.war.com@WAR.COM (aes128-cts-hmac-sha1-96)

2 host/boehost@WAR.COM (aes128-cts-hmac-sha1-96)

2 host/boehost.war.com@WAR.COM (aes256-cts-hmac-sha1-96)

2 host/boehost@WAR.COM (aes256-cts-hmac-sha1-96)

2 host/boehost.war.com@WAR.COM (arcfour-hmac)

2 host/boehost@WAR.COM (arcfour-hmac)

2 BOEHOST$@WAR.COM (des-cbc-crc)

2 BOEHOST$@WAR.COM (des-cbc-md5)

2 BOEHOST$@WAR.COM (aes128-cts-hmac-sha1-96)

2 BOEHOST$@WAR.COM (aes256-cts-hmac-sha1-96)

2 BOEHOST$@WAR.COM (arcfour-hmac)

2 bosso_svc_acct/boehost.war.com@WAR.COM (des-cbc-crc)

2 bosso_svc_acct/boehost@WAR.COM (des-cbc-crc)

2 bosso_svc_acct/boehost.war.com@WAR.COM (des-cbc-md5)

2 bosso_svc_acct/boehost@WAR.COM (des-cbc-md5)

2 bosso_svc_acct/boehost.war.com@WAR.COM (aes128-cts-hmac-sha1-96)

2 bosso_svc_acct/boehost@WAR.COM (aes128-cts-hmac-sha1-96)

2 bosso_svc_acct/boehost.war.com@WAR.COM (aes256-cts-hmac-sha1-96)

2 bosso_svc_acct/boehost@WAR.COM (aes256-cts-hmac-sha1-96)

2 bosso_svc_acct/boehost.war.com@WAR.COM (arcfour-hmac)

2 bosso_svc_acct/boehost@WAR.COM (arcfour-hmac)

Doze时光
3楼-- · 2020-09-20 12:07

谢谢蒂姆。 我忘记了我已经提交了这个问题。 答案是其中一个属性文件中的设置(我不记得是哪个文件)。

通过kerberos进入CMC/BI的Sso现在正在工作。 我正在记录整个过程。 完成后,我很乐意将文档发送给您。

木偶小白
4楼-- · 2020-09-20 12:02

你好,丹尼尔

我在AIX上遇到了完全相同的问题,您是否设法记录了证明成功的更改?

谢谢

马特

一周热门 更多>