要将FME Server配置为使用单点登录身份验证,Windows域必须将FME Server识别为域服务。需要三个步骤:
- 通过为FME Server分配服务主体名称(SPN),将其表示为一个域服务。
- 将一个或多个SPN注册到服务帐户.
确保服务帐户需要Kerberos预认证。
分配服务主体名
SPN具有以下形式:<服务> / <主机>,地点:
<服务>服务类型。在FME服务器的上下文中,这是http.
主机> <是托管FME服务器的web应用服务器的机器名称。为了提供灵活性,我们建议同时分配主机名的非限定版本和完全限定版本。
要获取主机名的非限定版本和完全限定版本,请执行以下操作:
- 在域计算机上,单击开始菜单,右键单击“计算机”或“我的计算机”,选择“属性”。
- 未限定的主机名请参见“计算机名”。
- 对于完全限定的主机名,请参阅“完整计算机名”。
例如,如果未限定的主机名是'fmeserver',而完全限定的主机名是'fmeserver.domain.net',则spn为:
- http / fmeserver
- http / fmeserver.domain.net
要向一个服务帐户注册SPN:
- 从域控制器,通过开始菜单打开命令提示符(cmd.exe)。
- 类型setspn -S
<帐号> 将SPN注册到服务帐户。 - 确保命令成功,并显示“Updated object”消息。如果邮件'Unable to locate account…,则帐户名称指定错误。
- 重复执行,直到添加所有spn。
例如,使用上一个例子中的spn,假设服务帐户是'fmeserveradmin',将输入以下命令:
setspn -A http/fmeserver fmeserveradmin
setspn -A http/fmeserver.domain.net fmeserveradmin
为了确保服务帐户需要Kerberos预认证:
- 从域控制器,通过开始菜单打开“Active Directory用户和计算机”。
- 在控制台树中,导航到服务帐户。
- 右键单击服务帐户,并选择Properties。
- 选择Account选项卡。
- 在Account Options下,滚动到底部,确保“不需要Kerberos预认证”未选中。
- 单击Ok。