Single sign on 在Websphere Application Server上配置Kerberos时出现问题
团队, 我对使用Kerberos身份验证进行单点登录有一个问题 我们已经为类似“POC.MAIL.COM”的域生成了一个keytab文件,我们的服务器托管在“SW.MAIL.COM”上。当我们的应用程序在WebSphereApplicationServer上运行时,我们尝试按照文档(第167页)中给出的设置Kerberos配置。 我们面临一个错误,即“无法获取主体服务HTTP/server1.SW.MAIL的凭据。COM@SW.MAIL.COM”。有人能帮我解决这个问题吗 如果需要任何其他信息,请发表评论 当我试图在“Kerberos身份验证机制页面”上设置krb5.conf和keytab文件时,我们遇到了这个错误 当我根据您的输入运行命令klist时,我得到了如下输出 “密钥表:/etc/krb5/pocso.keytab 参赛人数:1 [1.]主体:HTTP/server1.sw.mail。com@POC.MAIL.COM KVNO:12 " 更新 . 票证缓存:文件:/tmp/krb5cc_38698 默认委托人:pocsso1@POC.MAIL.COM 有效的启动过期服务主体 2014年9月1日16:15 2014年9月2日02:21 krbtgt/POC.MAIL。COM@POC.MAIL.COMSingle sign on 在Websphere Application Server上配置Kerberos时出现问题,single-sign-on,kerberos,websphere-7,Single Sign On,Kerberos,Websphere 7,团队, 我对使用Kerberos身份验证进行单点登录有一个问题 我们已经为类似“POC.MAIL.COM”的域生成了一个keytab文件,我们的服务器托管在“SW.MAIL.COM”上。当我们的应用程序在WebSphereApplicationServer上运行时,我们尝试按照文档(第167页)中给出的设置Kerberos配置。 我们面临一个错误,即“无法获取主体服务HTTP/server1.SW.MAIL的凭据。COM@SW.MAIL.COM”。有人能帮我解决这个问题吗 如果需要任何其他信息,
续订至2014年9月8日16:15仅在
Global security>SPNEGO web authentication在过滤器定义中,您应该具有:
Host name: server1.sw.mail.com
Kerberos realm name: POC.MAIL.COM
Filter criteria: yourFilterCriteria
Trim Kerberos realm from principal name - checked
应用程序安全<security-constraint>
<display-name>constraint</display-name>
<web-resource-collection>
<web-resource-name>all resources</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<role-name>userRole</role-name>
</auth-constraint>
</security-constraint>
约束
所有资源
/*
用户角色
org.ietf.jgss.GSSException, major code: 11, minor code: 0
major string: General failure, unspecified at GSSAPI level
minor string: Cannot get credential for principal HTTP/appserver.example.com@EXAMPLE.COM
- 主要服务必须遵循以下格式
/@KerberosRealm- 仔细检查主要服务的拼写
- 服务名称必须全部大写,即HTTP而不是HTTP
- Kerberos领域也必须全部为大写,并且
- 主机名必须在/etc/host文件或DNS服务器中找到
资料来源:
- (第477页)
requesturl%=yourContextRoot;请求url=noSPNEGO