span8
span4
嗨,这一定是简约的但我们错过了线索,但我们试图让FME Server接受单一登录登录。我们连接到Active Directory,这似乎工作好的,因为我们可以从域中使用一个用户名和密码并登录,这是一个成功。
周一11月13日 - 2017年04:20:33.924 PM INFORM RequestHandler线程401831:接受来自/127.0.0.1在端口7071新客户端连接周一11月13日 - 2017年04:20:33.926 PM INFORM RequestHandler线程401933: Successful login by user XX99999
然而,当我们按下使用Windows凭据登录被拒绝和fmeserver.log显示此错误信息:
周一11月13日 - 2017年04:23:22.734 PM INFORM RequestHandler线程401831:接受来自/127.0.0.1在端口7071新客户端连接周一11月13日 - 2017年04:23:22.770 PM INFORM RequestHandler线程408043: (Single Sign-On) Enabled single sign-on authentication.周一11月13日 - 2017年04:23:22.770 PM INFORM RequestHandler线程408049:(单点登录)使用预验证凭据(服务帐户)来创建服务器证书...周一11月13日 - 2017年04:23:22.802 PM INFORM RequestHandler线程408050:(单点登录)创建的服务器证书。周一11月13日 - 2017年04:23:22.803 PM INFORM RequestHandler线程408056:(单点登录)谈判遇到需要多个步骤;认证仍在进行中...周一11月13日 - 2017年04:23:22.803 PM错误RequestHandler线程单点登录正在进行周一11月13日 - 2017年04认证:23:22.807 PM WARN RequestHandler多线程401934:由用户YH0GBisGAQUFAqBzMHGgMDAuBgorBgEE登录失败..。由于凭据不足。
任何人有什么建议?什么坚持我的是用户名,似乎如果使用显式凭据他们不是同时进行加密。
问候@helmoet@RylanAt亚搏在线Safe。我们想通了!和我一起工作@理查达特保险箱亚搏在线通过支持票,它原来的SPN的是罪魁祸首。所以这个故事的寓意是虽然SIGNGLE_SIGN_ON_URL可以是CNAMETomcat属性文件浏览器中到FME服务器的url可以是CNAME必须是计算机主机名的SPN注册。下面是我们使用CNAME作为url时运行的命令。需要CNAME条目来允许通过浏览器中的友好名称访问服务器,需要主机名来允许FME服务器使用SSO。下面的粗体命令修复了这个问题。
CNAME SPN注册
setspn -S http/testfme svcMyServiceAccount
主机(计算机名)SPN注册
setspn-s http/mymachinename svcmyserviceaccount setspn-s http/mymachinename.mydomain.com svcmyserviceaccount
实际上,我认为发生的情况是,当试图生成一个Kerberos票据时,它使用的是机器名(主机),尽管在SINGLE_SING_ON_URL中指定了URL。很可能是服务器端进程生成了Keberos票据,这意味着机器名需要注册SPN。
希望这能帮到别人。
@helmoet和@RylanAt亚搏在线Safe你找到解决这个问题的办法了吗?我重新检查SPN设置,“服务帐户名称”(不指定域)的大小写敏感性添加了密码上述推荐的图书馆。然而,我仍然遇到问题与SSO的错误日志下面。我们使用FME服务器2018.1.1.1-内部版本18578-Win64
通知pool-3-thread-1408078:(活动目录)连接使用目录配置“mydomain.com”…通知pool-3-thread-1408001:(Active Directory)连接到(DCSERVER.mydomain.com:389)中的可用服务器…通知pool-3-thread-1408002:(活动目录)已成功连接到DCSERVER.mydomain.com。通知pool-3-thread-1408065:(Active Directory)连接的服务器是一个Active Directory服务器。通知pool-3-thread-1408066:(Active Directory)默认的用户名属性是“sAMAccountName”。通知pool-3-thread-1408067:(Active Directory)默认的用户全名属性是“displayName”。通知pool-3-thread-1408073:(Active Directory)默认用户邮件属性为“mail”。通知pool-3-thread-1408068:(Active Directory)默认的组名属性是“sAMAccountName”。通知pool-3-thread-1408004:(活动目录)找到默认的搜索基础“DC=mydomain,DC=com”。通知pool-3-thread-1408037:(Active Directory)使用连接的服务器“DCSERVER.mydomain.com”作为KDC。通知pool-3-thread-1408038:(活动目录)使用连接服务器的域名“mydomain.com”作为域。通知pool-3-thread-1408029:找到支持的SASL机制“GSSAPI”。通知pool-3-thread-1408029:(Active Directory)找到支持的SASL机制“GSS-SPNEGO”。通知pool-3-thread-1408029:(活动目录)发现支持的SASL机制“外部”。通知pool-3-thread-1408029:找到支持的SASL机制“DIGEST-MD5”。通知pool-3-thread-1408040:(Active Directory)配置为使用简单身份验证。通知pool-3-thread-140007:(Active Directory)验证用户“mydomain\svcMyServiceAccount”…通知pool-3-thread-1408060:(活动目录)已成功连接到DCSERVER.mydomain.com。通知pool-3-thread-1408079:使用目录配置“mydomain.com”成功连接,并遇到0个错误。通知LDAPConnectionPool(serverSet=RoundRobinServerSet(servers={DCSERVER.mydomain.com:389})的健康检查线程,maxConnections=100) 408060:(Active Directory)成功连接到DCSERVER.mydomain.com。通知请求处理程序线程401831:在端口7071上接受来自/127.0.0.1的新客户端连接通知请求处理程序线程408053:(单点登录)协商报告了一个错误:“在GSS-API级别未指定故障(机制级别:校验和失败)”。警告请求处理程序线程408058:(单点登录)由于协商错误,身份验证失败。请参阅单点登录的文档进行解析。错误请求处理程序线程单点登录身份验证失败警告请求处理程序线程401934:用户yiiqbwygwybqbuciiqyzccef+gmdau登录失败…由于凭据不足。
这个用户在日志文件中指定了什么?我们如何理解这种价值?YIIQbwYGKwYBBQUCoIIQYzCCEF + gMDAu…
@RylanAt亚搏在线Safe谢谢你的回复。我已经提交了一个支持的案例。当我得到一个决议,我会确保我张贴在这里为其他人。即使这对我来说是个愚蠢的错误:)
你好@贾斯汀康奈尔@RylanAt亚搏在线Safe@19495年对不起,这个项目没有得到我们的全部优先权。我们仍然没有解决这个问题。最近让我吃惊的是,我们可以使用fme服务器凭据和active directory登录(即,键入,而不是通过“使用windows凭据”按钮)来登录fme服务器(我们使用的是fme服务器2017.1)。
我可以,只要我输入他们在我的Windows凭据登录,但如果我点击“使用Windows凭据”,我得到一个消息,说“您无权访问此Web应用程序”。
然后,我检查了FMEServer.log。
401831:接受了/127.0.0.1在端口7071新的客户端连接
408041:(登录模块)进行身份验证的单点登录令牌“YIIJBwYGKwYBBQUCoIII + zCCCPegMDAu ......”。
408043:(单点登录)启用单点登录认证。
408049:(单点登录)使用预验证凭据(服务帐户)来创建服务器证书...
408050:(单点登录)创建的服务器证书。
408053:(单点登录)谈判报告错误:“失败的GSS-API级未说明(机制级别:校验失败)”。
408058:(单点登录)由于协商错误导致身份验证失败。有关解决方案,请参阅单点登录文档。
单点登录身份验证失败
401934:由用户YIIJBwYGKwYBBQUCoIII + zCCCPegMDAu登录失败...由于凭据不足。
我的用户ID是在两个AD和在FME用户所有小写字母。
由于所有的FME用户已经从AD进口的,他们可以使用其Windows凭据登录,我不认为这有什么不对的广告设置。我跟着指令https://docs.亚搏在线safe.com/fme/html/FME_Server_Documentation/Content/AdminGuide/IWA.htm这些广告设置。
@helmoet,@RylanAt亚搏在线Safe感谢您一起思考!
https://knowledge.亚搏在线safe.com/articles/395/enabling-aes256-in-the-java-runtime-environment-fo.html
这并没有解决这个问题,但现在fmeserver.log显示了这个:
INFORM RequestHandler线程408043:(单点登录)启用单点登录认证。
INFORM RequestHandler线程408049:(单点登录)使用预验证凭据(服务帐户)来创建服务器证书...
INFORM RequestHandler线程408050:(单点登录)创建的服务器证书。
INFORM RequestHandler线程408053:(单点登录)协商报告了一个错误:“GSS-API级别未指定的失败(机制级别:校验和失败)”。
WARN RequestHandler线程408058:(单点登录)失败,因为协商错误的认证。请参阅单点登录的文档进行解析。
ERROR RequestHandler线程单点登录身份验证失败
WARN RequestHandler线程401934:无法登录用户YIIQWQYGKwYBBQUCoIIQTTCCEEmgMDAu ...由于凭据不足。
Windows域的配置与这些ServicePrincipalNames更新:
HTTP /t-fmeserver.gasunie.nl
HTTP /叔fmeserver
Web浏览器的配置配置如下:
'本地Intranet'。=>http://t-fmeserver和http://t-fmeserver.gasunie.nl
“高级”选项卡=>启用集成Windows身份验证检查。
变化DEBUG_LEVEL到最详细(Tomcat的propertiesFile.properties)后,有趣的日志出现了:
INFORM RequestHandler线程408043:(单点登录)启用单点登录认证。
INFORM RequestHandler线程408049:(单点登录)使用预验证凭据(服务帐户)来创建服务器证书...
INFORM RequestHandler线程408050:(单点登录)创建的服务器证书。
INFORM RequestHandler线程408053:(单点登录)协商报告了一个错误:“GSS-API级别未指定的故障(机制级别:不支持/启用HMAC SHA1-96的加密类型AES256 CTS模式)”。
WARN RequestHandler线程408058:(单点登录)失败,因为协商错误的认证。请参阅单点登录的文档进行解析。
ERROR RequestHandler线程单点登录身份验证失败
WARN RequestHandler线程401934:无法登录用户YIIQWAYGKwYBBQUCoIIQTDCCEEigMDAu ...由于凭据不足。
我们正在调查TLS加密套件EAS265是否应添加...
嗨@Rylan,thanx的建议。未在该处现在,所以我得查周四。我会注意到劳动力,他们可以看看这其间。
然而,我认为,我们正在使用的服务帐户有权在Active Directory目录,因为这部分似乎很好地工作。然而,一个好的建议是使用另一个账户(用于测试)
我敢肯定域\用户名gotch没赶上我们(我们尝试了两种可能性,并保持良好的一个)。
我们从另一台机器上试过,确实没有工作,我们还要做对Tomcat配置的东西。如果我们在URL中使用“本地主机”,我们看到了使用Windows凭据按钮,但是,如果我们在URL中使用完全合格的服务器名称,我们得到了一个不同的登录屏幕没有按钮。
不过,我检查在Tomcat属性文件中的面向外部的URL设置,但至今没有成功。但是可以肯定,有一些工作要做,在该文件上了。
你好@helmoet- 我很遗憾听到这个!
您是否验证了SSO用户名和密码是使用服务帐户权限到Active Directory目录?
一个“疑难杂症”正在进入域\用户名的“域搜索用户”和在“SSO用户名” - 后者应该只有USERNAME。
而且你想使用Windows凭据登录在同一台机器上该FME Server安装到?请从不同的机器上试试。
有可能适用的几个非FME Server配置,所以请确保所有步骤都满意如文档中所述。
©2019安全亚搏在线软件公司|法律