WebSphere Kerberos多跳失败

时间:2018-02-28 07:43:42

标签: websphere kerberos websphere-liberty spnego

我们有一个新的第三方应用程序,Linux上的IBM WebSphere,SPNEGO已启用我们的Windows AD的SSO。除了一个案例外,这符合预期。

WebSphere调用使用传递身份验证的现有Windows Web服务,因此最终用户凭据将呈现给SQL Server。 此Windows设置也可以。

什么行不通:WebSphere凭证不会多跳到SQL Server

摘要

  • Windows浏览器 - > IIS Web服务 - > SQL Server =确定
  • Windows浏览器 - > IIS GUI - > IIS Web服务 - > SQL Server =确定
  • Windows浏览器 - > IBM Web Sphere - > IIS Web服务 - > SQL Server =在“IIS to SQL”跳转
    • 时失败

失败:

  • 在IIS Web服务中,它失败并显示“无法生成SSPI上下文”,错误的目标主体名称等
  • 在IIS服务器事件日志中(已启用Kerberos日志记录)
  

错误代码:0x24 KRB_AP_ERR_BADMATCH
  服务器领域:XXX.CH.OURDOMAIN.COM
  服务器名称:MSSQLSvc / oursqlserver.xxx.ch.ourdomain.com:50025
  目标名称:MSSQLSvc / oursqlserver.xxx.ch.ourdomain.com:50025@XXX.CH.OURDOMAIN.COM

其他信息

  • IIS Web服务配置为委派(不受约束),并且可以从Windows客户端
    • 运行
  • 为出站约束委派设置IBM WebSphere服务帐户
  • 最终用户SSO适用于IBM WebSphere(因为Kerberos机制等正常)
  • IBM WebSphere对IIS Web服务(同上)
    • 进行“验证”
  • SQL Server的SPN是正确的(也使用SQL Server Kerberos工具和sys.dm_exec_connections验证)
  • 此处完成的所有步骤https://www.ibm.com/support/knowledgecenter/en/SSAW57_8.5.5/com.ibm.websphere.nd.doc/ae/tsec_SPNEGO_config.html
  • IIS GUI和Web服务在同一台计算机上
  • 所有SPN,键盘,A2D2设置等都可以

IBM WebSphere的传递到SQL Server的传递是什么?

1 个答案:

答案 0 :(得分:1)

这是一个非常长的Kerberos缓存。 重新启动服务器,修复它。

Linux管理员说过"无需重启:它不是Windows"

相关问题
最新问题