我正在按照Obiee 11.1.1.7.14配置SSO,在此步骤中,我在配置krb5.conf和执行kinit命令时面临问题。

有关Active Directory的一些注意事项

  • 我们具有多个域控制器,并且为了平衡请求,我们正在使用端口3269维护负载平衡器。
  • 并且obiee和MSAD之间的集成已成功完成,负载均衡器名称为host,端口为3269。
  • 和少量证书已添加到demotrust.jks和ovd存储中,并且在新提供程序中启用了SSL。
  • 生成了
  • Keytab文件并将其放置在obiee域主目录中,相应地修改了krb5.conf和krb5Login.conf文件。

  • 我创建了keytab文件并将其放在obiee域主页中,然后通过将kdc保留为域控制器的ip地址之一并将admin-server保留为域控制器的名称来修改krb5.conf。在执行
    kinit -V -k -t /location/keytabfile.keytab HTTP/obiee_host_name
    我遇到了错误“ kinit(v5):在获取初始凭证的同时未在Kerberos数据库中找到客户端”。请分享您的想法/建议以解决此问题。

    提前致谢

    最佳答案

    感谢Michael-O的回复。

    在寻求解决方案之前,我想发布一些有关Active Directory服务器类型以及我们连接方式的信息。

    我们有一台Active Directory服务器,其中使用了2个域控制器。带有端口3269的负载平衡器用于从OBIEE连接到Active Directory,并且可以在krb5.conf中和需要使用的地方使用类似的连接。
    并将基本域视为DOM1,并且我们所有的组都在子域SUBDOM下创建。因此,将SPN设置在SUBDOM.DOM1.COM上。

    这是我们遵循的将AD与OBIEE集成并解决大多数kinit问题的一些建议

  • 不用用abosoute路径指定主角名称,只需用accout_name @ FullyQualifiedDomainName提及即可。
  • KRB5.conf中的更改

    a)由于在创建密钥表和设置SPN时将属性“crypto”指定为“所有”,因此密钥表文件中存在的所有加密类型都将在krb5.conf中提及(default_tkt_enctypes和default_tgs_enctypes)。

    b)在[领域]部分中包含了属性kdc的主域控制器ip地址,该地址与第2点中指定的Michael-O相同。

    c)在krb5.conf的[domain_realm]中保持为.subdom.dom1.com = DOM1.COM。

    d)在krb5.conf
  • 的[realms]部分的admin_server属性中包含负载均衡器名称的主机名

    完成上述所有更改后,将解决大多数kinit问题,并通过在所需目录中创建初始票据来成功执行kinit命令。

    谢谢。

    关于active-directory - kinit(v5):在获取初始凭据时在Kerberos数据库中找不到客户端,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/26257014/

    10-09 23:57