SSO最有效,AD手动身份验证

2020-09-23 11:30发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

我正在尝试为用户配置AD身份验证/SSO以访问BI Launchpad,但是我遇到了一个奇怪的问题。 通过kerberos SSO认证到BI Launchpad没有问题。 但是,手动验证会返回此错误:

无法识别帐户信息:Active Directory身份验证无法使您登录。 请与系统管理员联系,以确保您是有效映射组的成员,然后重试。 如果您不是默认域的成员,请输入用户名UserName @ DNS_DomainName,然后重试。  (FWM 00006)

我不知道如何进行操作,因为我没有在日志中发现任何错误,并且据我所知,一切都应该正常工作...

此外,SSO或手动AD Auth都无法进入CMC。 这可能有关吗? 任何帮助将不胜感激!

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


大家好,

我正在尝试为用户配置AD身份验证/SSO以访问BI Launchpad,但是我遇到了一个奇怪的问题。 通过kerberos SSO认证到BI Launchpad没有问题。 但是,手动验证会返回此错误:

无法识别帐户信息:Active Directory身份验证无法使您登录。 请与系统管理员联系,以确保您是有效映射组的成员,然后重试。 如果您不是默认域的成员,请输入用户名UserName @ DNS_DomainName,然后重试。  (FWM 00006)

我不知道如何进行操作,因为我没有在日志中发现任何错误,并且据我所知,一切都应该正常工作...

此外,SSO或手动AD Auth都无法进入CMC。 这可能有关吗? 任何帮助将不胜感激!

付费偷看设置
发送
4条回答
haha101010
1楼-- · 2020-09-23 12:20

SSO使用DNS,而手动身份验证使用bsclogin.conf和krb5.ini。 如果所有用户均失败,则验证java选项是否正确指向这些文件,可以通过对同一用户(如果krb5在Windows目录中)从sapjvm执行kinit来测试登录的一部分,并将debug = true添加到bsclogin。 conf将启用tomcat日志中的某些跟踪。

另一个陷阱是CMC中的默认域,必须将其设置为" DNS_DomainName",通常与krb5.ini中的默认名称相同。

CMC具有不同的SSO设置,并且是最近才添加的(4.1 SP7) https://apps.support.sap.com/sap/support/knowledge/preview/zh/2190831

-Tim

小灯塔
2楼-- · 2020-09-23 12:03

2天前我回答了所有这些问题

"" SSO使用DNS,而手动身份验证则使用bsclogin.conf和krb5.ini。如果所有用户都失败了,则请验证Java选项是否正确指向了这些文件,您可以通过从 同一用户的sapjvm(如果krb5在Windows目录中)向bsclogin.conf添加debug = true将在tomcat日志中启用某些跟踪。

另一个陷阱是CMC中的默认域,必须将其设置为" DNS_DomainName",通常与krb5.ini中的默认名称相同。

CMC具有不同的SSO设置,并且是在最近才添加的(4.1 SP7) https: //apps.support.sap.com/sap/support/knowledge/preview/zh/2190831 "

要从jvm添加kinit,只能在c:\ windows目录中测试krb5.ini。 如果成功,则Java选项,bsclogin.conf和CMC中的默认域也会使手动登录失败。 如果您要登录的用户位于另一个域中,则krb5需要更复杂,请参见下文。

https://apps.support.sap.com/ sap/support/knowledge/preview/zh/1245178

-Tim

哎,真难
3楼-- · 2020-09-23 12:17

你好乔恩·斯金纳

请浏览下面的博客以验证您的配置

使用Active Directory SAP Business Objects 4.2(AES加密)进行SSO配置

对于您的错误,您会发现很多SAP注释,如下所示

  • 2456939-默认域外的用户在CMC和BI Launchpad中进行Windows AD手动身份验证失败,错误代码为FWM 00006
  • 1942012-错误:无法识别帐户信息:尝试将AD SSO用于BI启动板时,Active Directory身份验证无法登录...(FWM 00006)
  • 1675441-实施了使用Vintela SSO的Kerberos对Windows AD进行身份验证后,SBOP BI 4.0:错误:"无法识别帐户信息:(FWM 00006)"
  • 1413156-用户获得活动目录身份验证失败错误(FWM 00006)错误
  • 1655908-无法识别帐户信息:Active Directory身份验证无法使您登录FWM 00006
  • 依此类推...

但是我认为列表中的第一个音符会对您有所帮助

谢谢

Yogesh

一只江湖小虾
4楼-- · 2020-09-23 12:20

我最初关注链接的文章,这就是我所处的位置。 我已阅读了大部分链接文章,但都没有提供答案-我的所有设置都是正确的; kerberos SSO还能如何工作? 有没有办法在不打开kerberos调试的情况下为Active Directory身份验证模块打开调试?

我能够从sapjvm目录成功初始化,并且用户和组适当地填充在CMC中。 为了确保安全,我第二遍浏览了设置指南,并验证了我的所有设置。 调试的下一步是什么?

老实说,我什至不关心手动身份验证的工作,因为我的用户在计划的部署中不会遇到它。 但是,我确实想进行测试并确保我的权限正确,并且至少不能说很难登录我的测试帐户。

一周热门 更多>