WebSphereKerberos多跳失败
我们有一个新的第三方应用程序,IBM WebSphere on Linux,为我们的Windows广告的SSO启用了SPNEGO。除了一种情况外,这与预期一样有效 WebSphere调用使用直通身份验证的现有Windows Web服务,因此最终用户凭据将显示给SQL Server。 此Windows设置也可以使用 什么不起作用:WebSphere凭据不能多跳到SQL Server 总结WebSphereKerberos多跳失败,websphere,kerberos,websphere-liberty,spnego,Websphere,Kerberos,Websphere Liberty,Spnego,我们有一个新的第三方应用程序,IBM WebSphere on Linux,为我们的Windows广告的SSO启用了SPNEGO。除了一种情况外,这与预期一样有效 WebSphere调用使用直通身份验证的现有Windows Web服务,因此最终用户凭据将显示给SQL Server。 此Windows设置也可以使用 什么不起作用:WebSphere凭据不能多跳到SQL Server 总结 Windows浏览器->IIS Web服务->SQL Server=OK Windows浏览器->IIS G
- Windows浏览器->IIS Web服务->SQL Server=OK
- Windows浏览器->IIS GUI->IIS Web服务->SQL Server=OK
- Windows浏览器->IBM Web Sphere->IIS Web服务->SQL Server=在“IIS到SQL”跃点失败
- 在IIS Web服务中,由于“无法生成SSPI上下文”、目标主体名称不正确等原因失败
- 在IIS服务器事件日志中(已启用Kerberos日志记录)
服务器领域:XXX.CH.OURDOMAIN.COM
服务器名称:MSSQLSvc/oursqlserver.xxx.ch.ourdomain.com:50025
目标名称:MSSQLSvc/oursqlserver.xxx.ch.ourdomain.com:50025@XXX.CH.OURDOMAIN.COM
其他信息
- IIS Web服务配置为委托(不受约束),并可从Windows客户端工作
- 已为受出站约束的委派设置IBM WebSphere服务帐户
- 最终用户SSO适用于IBM WebSphere(因此Kerberos机制等是可以的)
- IBM WebSphere向IIS Web服务验证OK(同上)
- SQL Server的SPN是正确的(也使用SQL Server Kerberos工具和sys.dm_exec_连接进行验证)
- 这里的所有步骤都完成了
- IIS GUI和Web服务位于同一台计算机上
- 所有SPN、按键、A2D2设置等均正常
从IBM WebSphere到SQL Server的传递跳转缺少什么?这是一个非常长的Kerberos缓存。 重新启动服务器,修复了它
Linux管理员说“不需要重新启动:它不是Windows”如果证书的过期时间较短/TTL(或证书中的任何名称)@Hogan我们需要重新启动,那么可能不需要重新启动,这就是我发布“我们重新启动”的原因。无法等待Kerberos票证上很长的超时。