我正在使用LDAP/Active Directory（技术预览）转换器访问整个组织的用户。当我使用dn作为ou=users，ou=branchname时，ou=部门名称，ou=部门，dc=域，dc=域名=ca，我只从那个分支获得用户列表。然而，我有兴趣从拥有多个部门和分支机构的整个组织中拉出用户。感谢您的帮助。

我使用Active Directory身份验证和单点登录配置了FME Server 2018。我可以用我的广告用户登录并运行工作区，但是我不能通过我的广告用户的令牌服务生成令牌。如何使用令牌服务为AD用户生成令牌？

我不想在登录到WebInterface后通过管理令牌生成令牌，因为我想为Web应用程序生成一个令牌。

FME服务器使用可分辨名称（DN）将用户与Active Directory关联。The DN name is a composite of many AD components and is not fixed (e.g.cn=jeff smith，ou=sales，dc=fabrikam，dc=com）。因此，如果组织单位发生变化或更名，或者他们结婚改姓，等，等等，FME服务器和Active Directory之间的链接将断开。他们将无法再访问FME服务器，尽管它们仍将作为用户列出。我在许多组织中见过这种情况。

我认为更好的方法是使用Active Directory SID，而我不相信对用户所做的更改，并且对于一个域是唯一的。要使用的另一个组件是域，因为可能有多个域连接到FME服务器。这样我们就可以保持一个不受大多数广告更改影响的一致链接。

你好，我们有使用FME服务器时出现以下问题：

无法使用AD用户帐户登录。

错误日志显示了使用sasl机制“gssapi”和kdc地址和领域“nl”对用户进行的第一次身份验证…成功了。在出现异常“ldapException（resultcode=82（本地错误）”之后，ErrorMessage='尝试初始化GSSAPI身份验证的JAAS LoginContext时出错：javax.security.auth.login.loginException:null（68）由krbeException引起：null（68）由krbeException引起：标识符与预期值（906）“”不匹配”，因此，FME服务器得出结论：“由于凭证不足，用户登录失败。”

这似乎是由于FME服务器不支持Active Directory服务器（由于故障转移，我们使用多个AD服务器）。仅指定其中一个（而不是域）似乎是解决问题的方法，然而，如果FME服务器支持多个AD服务器机制，那就更好了。

有其他人认识这个问题吗？

嗨，大家好，

我有一个关于单一登录到FME服务器的问题。

我已经在一个域上安装了FME服务器（我们称之为“域”），并为域A中的用户配置了SSO。我试过在一个使用正确域A帐户的客户机上登录，然后，使用InternetExplorer，我已经以SSO模式登录了FME服务器，它工作正常。

现在我有另一个域（我们称之为“域B”）以双向模式信任域A。

在FME服务器中，我添加了到域b'sactive目录的连接，并从该域导入了用户。

我尝试使用正确的域B帐户登录客户机，然后，使用Internet Explorer，我以SSO模式登录了FME服务器，但它不工作。

返回的消息是“您无权访问此Web应用程序”

有人能告诉我是否需要设置主体名称吗？使用setspn命令，也在B域中？

提前谢谢

罗伯托

由于FME Server 2018能够分配用户的邮件地址（用于密码恢复），而FME Server 2017+能够从ActiveDirectory中提取邮件地址（FME Server管理用户界面已经公开了这一点），将其作为工作区中的FME Server参数公开是非常好的，例如$（fme_security_user_mail）。

这将允许在流程后向通过SSO进行身份验证的用户发送邮件，而无需发布/请求用户的邮件地址（例如WebFrand字段）。

如果在FME服务器2017/2018中导入广告组，FME服务器创建该组并导入该组的每个用户。

如果稍后删除该组，它让您拥有所有必须手动删除的用户。

我认为两种更好的方法是：

• 如果管理员还希望导入此组的用户，则允许他选择“组导入”。只能由AD用户所属的组分配权限。
• 如果删除/删除广告组，让管理员也可以选择自动删除该组的用户。

如果处理大型用户组，当前的过程相当麻烦…

我正在和一位客户聊天，他们说他们希望能够让他们的用户运行脚本来访问他们已经有权使用Active Directory帐户的数据和目录。

目前，所有作业都以指定为FME引擎Windows服务登录用户的单个帐户运行）。该帐户需要访问任何可能由FME服务器上的作业处理的数据的权限。

我更希望作业作为创建它们的用户运行。

您在为IWA/SSO配置FME服务器时是否遇到问题？请阅读下面的一些常见故障排除提示和问题。

故障排除

• 你跟踪了所有的配置步骤？（此文档用于当前版本，请为您的安装使用正确的版本）
• 您使用的是受支持的浏览器吗？Internet Explorer当前支持单一登录，火狐和Chrome。
• 你检查过日志文件吗？在FMEServer_*日志文件中查找包含“（Active Directory）”或“（Single Sign-on）”的消息。这些文件位于 日志
• 众所周知，SSO将不工作如果您登录到机器安装FME服务器的位置–请测试不同机器的连接。

IWA/SSO身份验证失败：

在fmeserver.log中是否看到以下任何错误：

不正确的机制

• 附加说明：确保已在表单中输入了SPNhttp/Server网站而不是http://server.com网站.HTTP和HTTPS协议都使用HTTP服务类。

服务帐户

跨域用户

同一机器访问

来自FME社区的常见问题亚搏国际在线官网

1。当Active Directory登录正常时，FME服务器单一登录拒绝登录

您仍然遇到问题吗？

请考虑寄到FME社亚搏国际在线官网区问答如果您仍然遇到本文未解决的问题。也有不同的支持渠道可用。

对如何改进这一点有想法吗？

您可以向我们的观念交流.

为Active Directory配置FME服务器时是否遇到问题？请阅读下面的一些常见故障排除提示，问题和资源。

故障排除

注意：将Active Directory的FME服务器配置移至FME Server 2017中的Web界面。以前这是通过配置文件完成的。

• 你跟踪了所有的配置步骤？（本文件适用于2017年1月，请为您的安装使用正确的版本）
• 你检查过日志文件吗？在FMEServer_*日志文件中查找包含“（Active Directory）”或“（Single Sign-on）”的消息。这些文件位于 日志
• 对于2017 +，如果您在登录时遇到问题，检查输入的用户名是否与导入后在Web界面中显示的用户名完全相同（区分大小写）。
• 确认是否只有一个用户无法登录，或所有用户。

连接到Active Directory时的常见问题：

在检查了fmeserver.log文件之后，您是否遇到以下错误之一：

当'encryption method=ssl'时连接失败

无法使用SASL身份验证

不支持的SASL机制

如果您使用SASL作为身份验证方法，您遇到以下错误消息之一：

SASL和GSSAPI（SASL机制）- 1

错误信息：

（Active Directory）异常：“ldapException（resultcode=82（本地错误），ErrorMessage='尝试初始化GSSAPI身份验证的JAAS登录上下文时出错：javax.security.auth.login.login异常：由krbexception导致的预身份验证信息无效（24）：由krbexception导致的预身份验证信息无效（24）：标识符与预期值（906）不匹配'

或：

（Active Directory）异常：“ldapException（resultcode=82（本地错误），ErrorMessage='尝试初始化GSSAPI身份验证的JAAS登录上下文时出错：javax.security.auth.login.login异常：在kerberos数据库（6）中找不到由krbexception引起的客户端：在kerberos数据库（6）中找不到由krbexception引起的客户端：标识符与预期值（906）“”

SASL和GSSAPI（SASL机制）- 2

错误消息：error main 408010:（Active Directory）异常：“ldapException（resultcode=82（本地错误）”，ErrorMessage='尝试初始化GSSAPI身份验证的JAAS登录上下文时出错：javax.security.auth.login.login异常：由krbexception导致的消息流已修改（41）：消息流已修改（41）'

错误主408003:（Active Directory）无法连接到可用服务器，或者没有可用的服务器。

致命主405405:安全管理器初始化失败

SASL身份验证（Kerberos v5）- 1

错误信息：

（Active Directory）无法对用户进行身份验证。

（Active Directory）异常：“ldapException（resultcode=82（本地错误），ErrorMessage='尝试初始化GSSAPI身份验证的JAAS登录上下文时出错：javax.security.auth.login.login异常：KRBException导致的时钟偏差太大（37）：KRBException导致的时钟偏差太大（37）：标识符与预期值（906）'不匹配。“

SASL身份验证（Kerberos v5）- 2

错误信息：

（Active Directory）异常：“ldapException（resultcode=82（本地错误），ErrorMessage='尝试初始化GSSAPI身份验证的JAAS登录上下文时出错：javax.security.auth.login.login异常：KRBException导致的时钟偏差太大（37）：KRBException导致的时钟偏差太大（37）：标识符与预期值（906）'不匹配。“

FME社区问答问题亚搏国际在线官网

如何添加Active Directory用户以访问FME服务器并运行工作区？

通过Active Directory连接时访问Web用户界面时出现问题

FME服务器无法在Web UI中加载资源

服务器升级后出错，Active Directory页面弹出：“PostgreSQL错误，上次同步不存在”

具有Active Directory安全性的REST令牌

绑定到Active Directory失败

配置为使用Active Directory时，FME服务器无法启动

其他资源

FME服务器管理培训手册

深入研究FME服务器2017-访问控制：认证和授权

您仍然遇到问题吗？

请考虑寄到FME社亚搏国际在线官网区问答如果您仍然遇到本文未解决的问题。也有不同的支持渠道可用。

对如何改进这一点有想法吗？

您可以向我们的观念交流.

2017年升级至2017年1月

一切都在同一台机器上，Windows服务器。在Active Directory页上弹出错误。

日志文件中的错误：

错误主sqleexception:错误：列“last_sync”不存在位置：75error main 404186:无法启动目录管理器；异常为“org.postgresql.util.psqlException:error:column”last_sync“does not exist position:75”

我们已经用FME服务器配置了我们的Active Directory，并且已经添加了一些Active Directory用户来访问和运行FME工作区。

但当我尝试添加新用户时，它要求设置密码。我们不需要设置密码。用户可以在那里使用默认密码。

将广告支持扩展到LDAP支持将是非常好的，这样FME服务器就可以与那里的大多数LDAP实现对话，包括OpenLDAP。

如果FME服务器安全支持嵌套角色，这将非常有用！

例如我在FME服务器中创建了一个Active Directory连接，我已经导入了大量的Active Directory组，这些组随后成为FME服务器中的角色。如果我可以将这些Active Directory角色添加到现有的fmeadmin角色中（就像您可以与用户一起使用一样），那就太好了，这样我就可以在一个地方！

角色A包含用户A，BC角色D

角色A
-用户A
- User B
-用户C
角色D