要将FME服务器配置为使用单一登录身份验证,Windows域必须将FME服务器识别为域服务。需要三个步骤:
- 通过为FME服务器分配服务主体名称(SPN),将其表示为域服务。
- 将SPN(或多个SPN)注册到服务帐户.
- 确保服务帐户需要Kerberos预身份验证。
A) 分配服务主体名称
SPN的形式如下:<服务>/<主机>,其中:
<服务>是服务类型。在FME服务器的上下文中,这是http协议.
<主持人>是承载FME服务器的web应用程序服务器的计算机的名称。为了提供灵活性,我们建议同时分配主机名的非限定版本和完全限定版本。
要获取主机名的非限定和完全限定版本,请执行以下操作:
- 在FME服务器主机上,单击“开始”菜单,右键单击“计算机”或“我的计算机”,然后选择“属性”。
- 有关不合格的主机名,请参阅“计算机名”。
- 有关完全限定的主机名,请参阅“计算机全名”。
例如,如果非限定主机名为“myelserver”,而完全限定主机名为“myelserver.domain.net”,则SPN为:
- http/MyETLServer
- http/MyETLServer.domain.net
B) 向服务帐户注册SPN
- 从域控制器,通过“开始”菜单打开命令提示符(cmd.exe)。
- 类型设置pn-S
- 确保命令成功,并显示消息“Updated object”。如果出现消息“找不到帐户…”,则说明帐户名指定不正确。
- 重复此操作,直到添加所有SPN。
例如,使用上一个示例中的SPN,并假设服务帐户为“fmeserveradmin”,将输入以下命令:
setspn-S http/MyETLServer fmeserveradmin
setspn-S http/MyETLServer.domain.net fmeserveradmin
C) 确保服务帐户需要Kerberos预身份验证:
- 从域控制器,通过“开始”菜单打开“Active Directory用户和计算机”。
- 在控制台树中,导航到服务帐户。
- 右键单击服务帐户,然后选择属性。
- 选择Account选项卡。
- 在“帐户选项”下,滚动到底部并确保未选中“不需要Kerberos预验证”。
- 单击“确定”。