我正在按照Obiee 11.1.1.7.14配置SSO,在此步骤中,我在配置krb5.conf和执行kinit命令时面临问题。
有关Active Directory的一些注意事项
我创建了keytab文件并将其放在obiee域主页中,然后通过将kdc保留为域控制器的ip地址之一并将admin-server保留为域控制器的名称来修改krb5.conf。在执行
kinit -V -k -t /location/keytabfile.keytab HTTP/obiee_host_name
我遇到了错误“ kinit(v5):在获取初始凭证的同时未在Kerberos数据库中找到客户端”。请分享您的想法/建议以解决此问题。
提前致谢
最佳答案
感谢Michael-O的回复。
在寻求解决方案之前,我想发布一些有关Active Directory服务器类型以及我们连接方式的信息。
我们有一台Active Directory服务器,其中使用了2个域控制器。带有端口3269的负载平衡器用于从OBIEE连接到Active Directory,并且可以在krb5.conf中和需要使用的地方使用类似的连接。
并将基本域视为DOM1,并且我们所有的组都在子域SUBDOM下创建。因此,将SPN设置在SUBDOM.DOM1.COM上。
这是我们遵循的将AD与OBIEE集成并解决大多数kinit问题的一些建议
a)由于在创建密钥表和设置SPN时将属性“crypto”指定为“所有”,因此密钥表文件中存在的所有加密类型都将在krb5.conf中提及(default_tkt_enctypes和default_tgs_enctypes)。
b)在[领域]部分中包含了属性kdc的主域控制器ip地址,该地址与第2点中指定的Michael-O相同。
c)在krb5.conf的[domain_realm]中保持为.subdom.dom1.com = DOM1.COM。
d)在krb5.conf
完成上述所有更改后,将解决大多数kinit问题,并通过在所需目录中创建初始票据来成功执行kinit命令。
谢谢。
关于active-directory - kinit(v5):在获取初始凭据时在Kerberos数据库中找不到客户端,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/26257014/