本博客解释了在多域环境中使用SAP Single Sign-On产品为SAP Application Server ABAP实现Kerberos/SPNEGO方案时应考虑的问题。
Windows域和林容器用于满足企业环境中不同的身份验证和授权要求,例如,集中资源管理、将网络对象组织成逻辑层次结构、实现跨网络共享资源的规则等。域容器可以分离为域名系统(DNS)命名空间层次结构,称为域树。域树层次结构基于信任关系。
在多域环境中使用SAP Single Sign-on产品实现Kerberos/SPNEGO时,需要记住一些重要的细节,这取决于域之间的信任可用性。在这个博客中,我将用以下两个选项来描述细节:
选项1:微软域之间存在信任关系。选项2:Microsoft域之间没有信任关系。
现在让我们看看您必须考虑这两个选项。
使用SAP Single Sign-On产品实现Kerberos/SPNEGO需要在Windows域控制器上创建服务帐户。此服务帐户用于基于Kerberos的身份验证。
选项1:
当域之间存在信任关系时,仅在中心域上创建服务帐户就足够了。
选项2:
当环境中存在不受信任的域并且基于Kerberos的单点登录也必须为其工作时来自这些域的用户,您必须确保在每个不受信任的Windows域控制器上也创建了服务帐户。
服务主体名称(SPN)是客户端唯一标识服务实例的名称。SPN是使用ADSI Edit(用于管理Microsoft Active Directory中的对象和属性的LDAP编辑器)配置的。SNC配置或SPNEGO for ABAP需要服务主体名称,用于向请求的用户提供Kerberos服务令牌。
选项1:
当域之间存在信任关系时,只需创建一个服务帐户并在服务器上为该帐户配置相应的服务主体名称即可中心域。这样的配置就足够了,因为Microsoft技术确保所有受信任域的用户在中心域中都可见。还可以确保身份验证链将到达所需的受信任域,KDC(Kerberos密钥分发中心)将从SAP AS ABAP系统向该用户发出请求服务的Kerberos令牌。
选项2:
当域之间的信任缺失时,您需要在所有不受信任的域上配置服务帐户,并确保为这些服务帐户配置了一个相同的服务主体名称。此配置是必要的,因为不受信任的域彼此独立工作,并且每个域都必须配置为识别来自SAP AS ABAP系统的服务。
注意:
常见的配置错误是在不同的域上使用不同的服务主体名称。即使可以在不同的Microsoft域控制器上创建不同的服务帐户名称,也必须确保这些帐户配置为一个相同的服务主体名称。
在SAP ABAP服务器端,使用Kerberos/SPNEGO实现SNC需要使用SPNEGO生成密钥表文件或SNCWIZARD事务,物联网管理平台,可与新的AS ABAP版本一起使用(有关更多详细信息,请使用博客末尾的文档链接)。Keytab包含有关用户主体的信息和在Windows域控制器上创建的此服务的服务帐户的密码。
有关详细信息,请参阅:使用单一登录向导配置SNC和SPNego。
选项1和选项2:
无论域之间是否存在信任,大数据培训哪好,当我们有多个Microsoft域要集成到Kerberos/SPNEGO实现中时,有必要为这些域中的每一个创建一个Keytab。这种配置是必需的,因为SAP AS ABAP服务器必须配置为信任这些域中的每一个。
注意:
Kerberos Keytab生成的一个常见配置错误是用户主体的错误键入。请注意,营销数据分析,Active Directory中的用户主体具有以下格式:
sAMAccountName@WINDOWS2000-DOMAIN,其中sAMAccountName区分大小写,域部分为大写。举个例子:SAPServiceUserABC@IT.CUSTOMER.DE。
有关SNC/SPNEGO的详细信息,请参阅以下文档:
SNC Kerberos配置
使用单点登录向导配置SNC和SPNEGO
,大数据主要学什么,返利淘联盟