点击此处--->
群内免费提供SAP练习系统(在群公告中)
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
凭据
客户端: boeuser2@WAR.COM
会话密钥:[23,23 db 9d ba bd 47 c3 ad d6 9d 87 a5 95 60 ca 7a]
服务主体: krbtgt/WAR.COM@WAR.COM
:UTC 2018年4月5日星期四11:28:45
有效期至:UTC 2018年4月5日星期二21:28:45可更新至:UTC 2018年4月12日星期四11:28:45 UTC门票:
>加密类型:23
密钥版本号:2
服务主体: krbtgt/WAR.COM@WAR.COM
票证标志:可转发转发的可预授权
适用于:所有地址
++++++++++++++++++++++++++++++++ < br> [DEBUG] Thu Apr 05 14:05:50 UTC 2018 jcsi.kerberos:**创建应用程序响应.. **
使用键
[23,ab c1 a9 e3 e8 73 45 d6 a4 3b d2 9a 53 27 2d ce]
[DEBUG] Thu Apr 05 14:05:50 UTC 2018 jcsi.kerberos:创建了应用程序响应:
++++ KRB-AP-REP消息++++
加密类型:23
序列号:69992197 子会话密钥 :null
客户时间:周四Apr 05 14:05:49 UTC 2018
cusec:3291
+++++++++++++++++++++++++ +++++
com.crystaldecisions.sdk.exception.SDKException $ InvalidArg:该参数在com.crystaldecisions.sdk.occa.security.internal.SecuritySession.decodeSerializedSession处具有无效值null(FWM 02024)
(SecuritySession.java:931)
{var%20f='http://v.t.sina.com.cn/share/share.php?appkey=1515056452',u=z||d.location,p=['&url=',e(u),'&title=',e(t||d.title),'&source=',e(r),'&sourceUrl=',e(l),'&content=',c||'gb2312','&pic=',e(p||'')].join('');function%20a(){if(!window.open([f,p].join(''),'mb',['toolbar=0,status=0,resizable=1,width=440,height=430,left=',(s.width-440)/2,',top=',(s.height-430)/2].join('')))u.href=[f,p].join('');};if(/Firefox/.test(navigator.userAgent))setTimeout(a,0);else%20a();})(screen,document,encodeURIComponent,'','','http://www.easysap.com/data/attach/logo/logo.png', '推荐 独立观察员 的问题《在kerberos sso尝试进入Linux上的cms期间,您能否提供任何水晶异常的线索?》','https://www.easysap.com/q-90630.html','页面编码gb2312|utf-8默认gb2312'));){kind=link}
如果Linux上的CMS不支持kerberos SSO,您正在使用什么方法? 您仍然可以使用Microsoft spnego捕获用户名,使用可信任的auth远程用户使用它登录,并映射LDAP中的组以提供帐户同步。 该错误似乎表明尝试SSO的用户无法委派,但是对于完整的上下文(例如当前配置),需要了解更多信息。
以下是非Windows BI服务器的标准AD SSO配置。 另外请注意,您应该编辑帖子以删除有关您单位的特定用户名和信息
https://apps.support.sap.com/ sap/support/knowledge/preview/zh/1965433
-Tim
这些是我对属性文件的设置
Vintela京东方
sso.types.and.order = trustedVintela bilaunchpad.properties
siteminder.enabled = false global.properties
sso.enabled = true全局属性
vintela.enabled =真实的global.properties
idm.realm = WAR.COM global.properties
idm.princ = bosso_svc_acct global.properties
idm.allowS4U = true global.properties
idm.password = War1 global.properties
idm.allow.Unsecured = true global.properties
idm.allowNTLM = false global.properties
idm.logger.name =简单的global.properties
idm.logger.props = error-log.properties global.properties
idm.keytab =/etc/krb5.keytab global.properties
-我对kerberos遇到的另一个问题是,当我删除idm.password设置(允许它使用kerberos密码)时,它将无法工作。 如果我没记错的话,那是加密错误。 我相信Windows生成的krb5.keytab可能与Linux不兼容。 我让服务器为我生成了密钥表,然后它在没有嵌入式密码的情况下也可以工作。
1)在当前"密钥"标签中列出主体和加密类型:
[root @ BOEHOST等]#klist -e -k krb5.keytab
键标签名称:FILE:krb5.keytab
KVNO负责人
---- ------------------------------------------- -------------------------------
11 bosso_svc_acct@WAR.COM (des-cbc-crc)
11 bosso_svc_acct@WAR.COM (des-cbc-md5)
11 bosso_svc_acct@WAR.COM (arcfour-hmac)
11 bosso_svc_acct@WAR.COM (aes256-cts-hmac-sha1-96)
11 bosso_svc_acct@WAR.COM (aes128-cts-hmac-sha1-96)
2)从域服务器获取凭据:
[root @ BOEHOST等]#kinit bosso_svc_acct
bosso_svc_acct@WAR.COM的密码:
3)列出获得的凭据和加密类型:
[root @ BOEHOST等]#klist -e
门票缓存:KEYRING:永久性:0:0
默认主体: bosso_svc_acct@WAR.COM
有效的启动到期服务主体
04/12/2018 00:57:24 04/12/2018 10:57:24 krbtgt/WAR.COM@WAR.COM
续签至2018年4月19日00:57:19,Etype(skey,tkt):aes256-cts-hmac-sha1-96,aes256-cts-hmac-sha1-96
4)让服务器为我创建一个密钥表(将当前密钥表重命名为备份)
网络广告关键标签创建-k
5)在当前"密钥"标签中列出主体和加密类型:(大不同!)
---在此新的密钥表文件中使用了未嵌入的服务名称密码!
[root @ BOEHOST等]#klist -ke krb5.keytab
密钥表名称:FILE:krb5.keytab
KVNO校长
---- ------------------------------------------- -------------------------------
11 bosso_svc_acct@WAR.COM (des-cbc-crc)
11 bosso_svc_acct@WAR.COM (des-cbc-md5)
11 bosso_svc_acct@WAR.COM (arcfour-hmac)
11 bosso_svc_acct@WAR.COM (aes256-cts-hmac-sha1-96)
11 bosso_svc_acct@WAR.COM (aes128-cts-hmac-sha1-96)
2 host/boehost.war.com@WAR.COM (des-cbc-crc)
2 host/boehost@WAR.COM (des-cbc-crc)
2 host/boehost.war.com@WAR.COM (des-cbc-md5)
2 host/boehost@WAR.COM (des-cbc-md5)
2 host/boehost.war.com@WAR.COM (aes128-cts-hmac-sha1-96)
2 host/boehost@WAR.COM (aes128-cts-hmac-sha1-96)
2 host/boehost.war.com@WAR.COM (aes256-cts-hmac-sha1-96)
2 host/boehost@WAR.COM (aes256-cts-hmac-sha1-96)
2 host/boehost.war.com@WAR.COM (arcfour-hmac)
2 host/boehost@WAR.COM (arcfour-hmac)
2 BOEHOST$@WAR.COM (des-cbc-crc)
2 BOEHOST$@WAR.COM (des-cbc-md5)
2 BOEHOST$@WAR.COM (aes128-cts-hmac-sha1-96)
2 BOEHOST$@WAR.COM (aes256-cts-hmac-sha1-96)
2 BOEHOST$@WAR.COM (arcfour-hmac)
2 bosso_svc_acct/boehost.war.com@WAR.COM (des-cbc-crc)
2 bosso_svc_acct/boehost@WAR.COM (des-cbc-crc)
2 bosso_svc_acct/boehost.war.com@WAR.COM (des-cbc-md5)
2 bosso_svc_acct/boehost@WAR.COM (des-cbc-md5)
2 bosso_svc_acct/boehost.war.com@WAR.COM (aes128-cts-hmac-sha1-96)
2 bosso_svc_acct/boehost@WAR.COM (aes128-cts-hmac-sha1-96)
2 bosso_svc_acct/boehost.war.com@WAR.COM (aes256-cts-hmac-sha1-96)
2 bosso_svc_acct/boehost@WAR.COM (aes256-cts-hmac-sha1-96)
2 bosso_svc_acct/boehost.war.com@WAR.COM (arcfour-hmac)
2 bosso_svc_acct/boehost@WAR.COM (arcfour-hmac)
谢谢蒂姆。 我忘记了我已经提交了这个问题。 答案是其中一个属性文件中的设置(我不记得是哪个文件)。
通过kerberos进入CMC/BI的Sso现在正在工作。 我正在记录整个过程。 完成后,我很乐意将文档发送给您。
你好,丹尼尔
我在AIX上遇到了完全相同的问题,您是否设法记录了证明成功的更改?
谢谢
马特
一周热门 更多>