1. дома
  2. Вопрос и ответ
  3. kinit (v5): Клиент не найден в базе данных Kerberos при получении начальных учетных данных

kinit (v5): Клиент не найден в базе данных Kerberos при получении начальных учетных данных

2014-10-08 3 views
2

Я работаю над настройкой SSO в obiee 11.1.1.7.14, где я столкнулся с проблемой на этапе при настройке krb5.conf и выполнение команды kinit.kinit (v5): Клиент не найден в базе данных Kerberos при получении начальных учетных данных

несколько замечаний относительно Active Directory

  • мы имеем больше чем один контроллер домена и сбалансировать запрос мы сохранением балансировки нагрузки с портом 3269.
  • и интеграции между OBIEE и MSAD успешно сделанное с именем балансира нагрузки как хост и порт как 3269.
  • и несколько сертификатов были добавлены в demotrust.jks и в хранилище ovd, а SSL включен в новом провайдере.
  • Файл Keytab, сгенерированный и размещенный в домене obiee home, krb5.conf и файл krb5Login.conf соответствующим образом изменен.

Я создал Keytab файл и поместил его в домене OBIEE доме, затем модифицировал krb5.conf, сохраняя KDC как один из IP-адреса контроллера домена и администратор-сервер в качестве имени из контроллер домена. И при выполнении

kinit -V -k -t /location/keytabfile.keytab HTTP/obiee_host_name

я получил и ошибки «Kinit (v5): Клиент не найден в базе данных Kerberos при получении исходных учетных данных». Поделитесь своими идеями/предложениями, чтобы решить эту проблему.

Заранее спасибо

источник

2014-10-08 user3714699

+0

Нужно ли добавлять сертификаты доверия на сервере unix, где установлено obiee? однако сертификаты или добавлены в доверительный магазин obiee и ovd store. Это будет большой помощью, если кто-нибудь из вас поделится идеями. – user3714699

ответ

0

Прежде всего, это serverfault.

  1. 3269 не является Kerberos, это глобальный каталог с поддержкой SSL. Чистый LDAP не Kerberos. Не интересно здесь.
  2. Не ставьте IP-адреса KDC в krb5.conf, а скорее полагайтесь на записи DNS SRV, как это делает Windows.
  3. Вы не можете kinit с SPN. kinit ожидает UPN (от AD) из keytab. Что-то вроде [email protected], если это учетная запись машины. Всегда помните, что SPN всегда привязан к какой-либо учетной записи, будь то машина или функционал.

источник

2014-10-10 10:00:39

0

Спасибо Michael-O за ваш ответ.

Прежде чем перейти к решению, я хотел бы опубликовать несколько сведений о типе сервера Active Directory и способа подключения.

У нас есть сервер Active Directory, в котором для этого используются 2 контроллера домена. И балансировка нагрузки с портом 3269 используется для подключения к каталогу Active из OBIEE, и аналогичные соединения могут использоваться в krb5.conf и там, где это требуется. И рассмотрите базовый домен как DOM1, и все наши группы создаются в поддомене SUBDOM. Таким образом, SPN устанавливается на SUBDOM.DOM1.COM.

Вот несколько предложений, мы следовали интегрировать AD с OBIEE и решаемые большой частью Kinit выдает

  1. Вместо specfying на prinicpal имени с путем abosoute, упомянут только с accout_name @ FullyQualifiedDomainName.

  2. Изменения в krb5.conf

    а) Так как атрибут «крипто» является, как, определенное «все» при создании Keytab и установки SPN, все типы шифрования, который присутствует в файле Keytab, чтобы быть упомянуты в файле krb5.conf (default_tkt_enctypes и default_tgs_enctypes).

    б) включали в себя первичный контроллер домена IP-адрес для KDC атрибута в разделе [сферы], это будет такой же, как Майкл-О в точке, определенное 2.

    с) в [domain_realm] из krb5. conf сохранить как .subdom.dom1.com = DOM1.COM.

    г) включает в себя имя хоста имени loadbalancer в атрибуте admin_server раздела [сфера] в krb5.conf

сразу все вышеуказанные изменения сделаны, большинство вопросов Kinit будет решен и команда kinit будет выполнена успешно, создав исходный билет в нужной директории.

Спасибо.

источник

2014-11-14 12:20:45 user3714699

 Смежные вопросы

  • Нет связанных вопросов^_^