要配置FME Server使用单点登录认证,Windows域必须认识到FME Server作为域名服务。有3个步骤:
- 通过分配一个服务主体名称(SPN)表示FME Server作为域名服务。
- 注册SPN(或结节)的服务帐户。
确保服务帐户需要Kerberos预认证。
指定一个服务主体名称
An SPN has the form:<服务> / <主机>其中:
<服务>是服务类型。在FME服务器的情况下,这是HTTP。
<主机>是托管FME Server的Web应用程序服务器的计算机的名称。为了提供灵活性,我们建议双方指定的主机名的不合格和完全合格的版本。
要获取主机名的不合格和完全合格版本:
- 从域中的计算机,单击开始菜单,右键单击“计算机”或“我的电脑”,选择“属性”。
- For the unqualified host name, refer to 'Computer name'.
- 对于完全合格的主机名,请参阅“完整的计算机名称”。
例如,如果不合格的主机名是“fmeserver”和完全合格的主机名是“fmeserver.domain.net”中,结节是:
- HTTP / fmeserver
- HTTP / fmeserver.domain.net
要注册一个SPN服务帐户:
- 来自域控制器中,打开通过开始菜单命令提示(cmd.exe的)。
- 类型SETSPN -A
<帐户> 注册SPN服务帐户。 - 确保命令成功消息'Updated object'. If the message 'Unable to locate account ...' appears, the account name is incorrectly specified.
- 重复直到添加了所有的SPN。
例如,使用前面例子中的结节,并假定该服务帐户“fmeserveradmin”,下面的命令应输入:
SETSPN -A HTTP / fmeserver fmeserveradmin
SETSPN -A HTTP / fmeserver.domain.net fmeserveradmin
To ensure that the service account requires Kerberos pre-authentication:
- 来自域控制器, open 'Active Directory Users and Computers' via the Start menu.
- In the console tree, navigate to the service account.
- 用鼠标右键单击服务帐户,然后选择属性。
- 选择帐户选项卡。
- 在帐户选项,滚动至底部,并保证“不要求Kerberos预身份验证”没有被选中。
- 单击确定。