1. дома
  2. Вопрос и ответ
  3. WSO2 Identity Server Linux IWA

WSO2 Identity Server Linux IWA

2015-08-04 10 views
0

Я занимаюсь оценкой сервера WSO2 Identity.WSO2 Identity Server Linux IWA

Текущая установка Интранет смешивает устройства Linux и Windows. Поскольку интегрированная проверка подлинности Windows (IWA) является требованием в решении SSO, которое собирается реализовать компания, существует ли способ заставить хосты Linux аутентифицироваться с использованием IWA.

Мне удалось использовать IWA из оконных терминалов, но когда я регистрирую форму терминала Linux, я получаю подсказку.

Терминалы linux аутентифицируются в Active Directory с помощью Centrify DC Express. Я тоже пробовал, но получил тот же результат.

Это предупреждение, которое я получаю, когда я войти в Линукс терминалов:

WARN {waffle.apache.NegotiateAuthenticator} - error logging in user: The  token supplied to the function is invalid

источник

2015-08-04 user3320936

ответ

0

Вы можете проверить, если установка поиска записи DNS обратного было правильно, так как это будет использоваться, чтобы получить билет службы для SSO , На хосте Linux: nslookup

Затем проверьте, есть ли у вас служба SPN для HTTP, зарегистрированная в AD, с записью обратного просмотра.

В Linux, если вы используете Centrify Express, пожалуйста, запустите: adquery пользователь -A

например adquery пользователя -A веб-сервер $

Или на AD, запустите Setspn -L

Вы должны увидеть запись, как "HTTP /".

Если выше были сконфигурированы правильно, пожалуйста, проверьте Klist выход после доступа к неисправности:

например, /usr/share/centrifydc/kerberos/bin/klist

И подтвердите, что вы видите билет службы HTTP.

например.

===

08/05/2015 19:44:07 08/06/2015 05:36:27 HTTP/[email protected] не возобновлять до 08/12/2015 19:36:27

===

Если он существует, это свидетельствует о том, что веб-сервер не принимает билет службы по какой-то причине. Возможно, чувствительный к регистру «HTTP» сервис или отсутствующие записи keytab в keytab вашего веб-сервера и т. Д. Проблема, похоже, на стороне сервера.

Если этого не произошло, это указывает на то, что AD отклонил ваш запрос на обслуживание. И сетевой трассир на стороне клиента, мог бы сказать, что пошло не так.

Надеюсь, это поможет.

Спасибо, Ян @ Centrify

источник

2015-08-05 12:06:02 Ian

+0

спасибо за вашу помощь. Я запустил эти команды, но я не нашел запись «HTTP /». Это выход Klist 08/07/15 01:54:35 08/07/15 11:54:35 krbtgt/[email protected] \t не возобновлять до 08/14/15 01:54 : 24 – user3320936

+0

Что мне делать, чтобы получить билет HTTP/service? – user3320936

+0

Вы имеете в виду, что вы не можете найти службу «HTTP» через команду adquery или setspn? – Ian

Последний вопрос

 Смежные вопросы

  • Нет связанных вопросов^_^