kinit(v5):获取初始凭据时在Kerberos数据库中找不到客户端
我正在obiee11.1.1.7.14中配置SSO,其中我在配置krb5.conf和执行kinit命令时遇到了问题。
关于Active Directory的几点注意事项
- 我们有多个域控制器,为了平衡请求,我们使用端口3269维护负载均衡器。
- obiee和MSAD之间的集成成功完成,负载均衡器名称为主机,端口为3269。
- 并且在demotrust.jks和ovd存储中添加了一些证书,并且在新提供程序中启用了SSL。
- Keytab文件生成并放置在obiee域home中,krb5.conf和krb5Login.conf文件相应修改。
我创建了keytab文件并将其放在obiee域主目录中,然后修改了krb5.conf,将kdc作为域控制器的ip地址之一,将admin-server作为域控制器的名称之一
kinit-V-k-t/location/keytab文件。按键HTTP/obiee\u host\u name
我有和错误"kinit(v5):客户端没有找到在Kerberos数据库中,同时获得初始凭据"。请分享您的想法/建议来解决这个问题。
提前感谢
共有2个答案
首先,这是服务器故障。
- 3269不是Kerberos,这是SSL支持的全局编录。纯LDAP而非Kerberos。这里不有趣
谢谢Michael-O的回复。
在讨论解决方案之前,我想发布一些关于Active Directory服务器类型和连接方式的信息。
我们有一个Active Directory服务器,其中使用了两个域控制器。带有3269端口的负载平衡器用于从OBIEE连接到Active directory,类似的连接可以在krb5.conf中使用,也可以在需要的地方使用。将基本域视为DOM1,我们所有的组都是在sub-domain SUBDOM下创建的。因此,SPN设置在SUBDOM.DOM1.COM。
以下是我们遵循的一些建议,以将AD与OBIEE集成并解决大部分kinit问题
>
a) 由于属性“crypto”在创建密钥表和设置SPN时被指定为“all”,因此密钥表文件中存在的所有加密类型将在krb5.conf中提及(default\u tkt\u enctypes和default\u tgs\u enctypes)。
b)在[realms]部分中包含属性kdc的主域控制器ip地址,这将与第2点中描述的Michael-O相同。
c) 在krb5.conf的[domain\u realm]中保留为.subdom.dom1.com=dom1.com。
d)在krb5.conf[realms]部分的admin_server属性中包含loadbalancer name的主机名
完成上述所有更改后,大多数kinit问题将得到解决,并且通过在所需目录中创建初始票据,kinit命令将成功执行。
谢谢
-
我在W12服务器上运行了以下命令:- setspn-A HTTP/krbspn ktpass/princ HTTP/@/crypto ALL/ptype krb5\u nt\u principal/mapuser krbspn c:\ticket\krbspn。按键-kvno 0/pass Pa$$w0rd kinit-krbspn给出了正确的结果,但kinit-HTTP/返回:- KrbExce
-
我使用CAS和Spnego支持,KDC是192.168.1.244,我的领域是示例。COM我测试了我的本地Windows域环境,我可以从示例中获得票证。com我用“kinit”命令测试它,但在CAS spnego环境中,在Kerberos数据库中找不到异常客户端,我已经在C:\windows\krb5.ini中创建了它,内容如下 krb5.ini 异常报告如下: 但为什么在kerberos数据库中
-
spnego/kerberos身份验证出现以下错误 运行hellokeytab.java文件时出现此错误。 安装程序、链接和我用于SPNEGO/Kerberos身份验证的文件。 链接-http://spnego.sourceforge.net/ tomcat服务器的域帐户 用户-xyztest 密码-**** 主体-princ http/appserver1@corp.xyz.com 1)hell
-
尝试在Tomcat 7(windows Server 2012)上归档集成的windows身份验证,以便Intranet用户在访问我的web应用程序时不需要输入他们的凭据。遵循tomcat手册:https://tomcat.apache.org/tomcat-7.0-doc/windows-auth-howto.html#Built-in\u Tomcat\u支持 在运行tomcat的计算机上。检
-
因此我有了服务帐户凭据json(作为字符串,或代码中的json对象):
-
其他人有这个奇怪的问题吗?错误消息: 致命错误:未捕获异常“exception”,消息为“DateTime::\uuu construct():无法分析位置17(A)处的时间字符串(2016年1月18日美国/纽约凌晨00:00):在数据库中找不到时区 异常:DateTime::_构造():未能分析位置17(A)处的时间字符串(2016年1月18日美国/纽约凌晨00:00):在数据库中找不到时区 原