我正在 obiee 11.1.1.7.14 中配置 SSO,其中我在配置 krb5.conf 和执行 kinit 命令的步骤中遇到了问题。
关于 Active Directory 的一些注意事项
我已经创建了 keytab 文件并将其放置在 obiee 域主目录中,然后通过将 kdc 作为域 Controller 的 ip 地址之一和 admin-server 作为域 Controller 的名称来修改 krb5.conf。并在执行
kinit -V -k -t /location/keytabfile.keytab HTTP/obiee_host_name
我有错误“ kinit(v5): Client not found in Kerberos database while getting initial credentials ”。请分享您的想法/建议以解决此问题。
提前致谢
最佳答案
感谢 Michael-O 的回复。
在讨论解决方案之前,我想发布一些有关 Active Directory 服务器类型和我们连接方式的信息。
我们有一个 Active Directory 服务器,其中使用了 2 个域 Controller 。带有端口 3269 的负载平衡器用于从 OBIEE 连接到事件目录,并且可以在 krb5.conf 中以及需要的地方使用类似的连接。
并将基本域视为 DOM1,我们所有的组都在子域 SUBDOM 下创建。所以 SPN 设置在 SUBDOM.DOM1.COM。
以下是我们为将 AD 与 OBIEE 集成并解决了大部分 kinit 问题而遵循的一些建议
a) 由于在创建 keytab 和设置 SPN 时将属性“crypto”指定为“all”,因此 krb5.conf 中提到的 keytab 文件中存在的所有加密类型(default_tkt_enctypes 和 default_tgs_enctypes)。
b) 在 [realms] 部分中包含了属性 kdc 的主域 Controller IP 地址,这将与第 2 点中指定的 Michael-O 相同。
c) 在 krb5.conf 的 [domain_realm] 中保持为 .subdom.dom1.com=DOM1.COM。
d) 在 krb5.conf 的 [realms] 部分的 admin_server 属性中包含负载均衡器名称的主机名
完成上述所有更改后,大多数 kinit 问题将得到解决,并且 kinit 命令将通过在所需目录中创建初始票证成功执行。
谢谢。
关于active-directory - kinit(v5) : Client not found in Kerberos database while getting initial credentials,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26257014/