尝试SSO时出现“获取基本身份验证”框(Websphere/keytab)

Question

我正在尝试通过SSO自动登录在WebSphere中托管的应用程序上。当我导航到SSO URL时，它要求我提供用户名和密码--当我将凭据放入其中时，它可以正常工作。我相信这个问题在关键标签中，但是我在网上看到的一切似乎都表明这很好。

问题所在

我有一个2 x应用服务器，托管在Azure中，域连接到domain1.org

这两个服务器连接到一个负载均衡器，在Azure中使用dns dev-domain1.org。

注意:我已经测试过将所有dev-domain1.org从恢复到AD域，domain1.org和SSO工作。

SPN用户

在AD中创建: User：DOMAIN1.ORG\USERNAME with SPN HTTP/env.domain1.org

使用以下命令创建keytab：

ktpass.exe -princ HTTP/env.domain1.org@DOMAIN1.ORG -mapuser DOMAIN1.ORG\USERNAME -pass [PASSWORD] -crypto all -kvno 0 -ptype KRB5_NT_PRINCIPAL -out "F:\PATHTOKEYTAB\.keytab "

更新的.conf文件

~~ [libdefaults] ~~
    default_realm = AD_DOMAIN
    default_keytab_name = FILE:F:\IBM\WebSphere\AppServer\keytab
    default_tkt_enctypes = rc4-hmac des-cbc-md5
    default_tgs_enctypes = rc4-hmac des-cbc-md5
    forwardable  = true
    renewable  = true
    noaddresses = true
    clockskew  = 300
[realms]
    AD_DOMAIN = {
        kdc = DC01.ad_domain:88
        default_domain = ad_domain
    }
[domain_realm]
    .ad_domain = AD_DOMAIN
    .dns_domain = AD_DOMAIN

如果我想为与AD/内部域不同的URL使用另一个域，那么有人知道我应该如何设置keytab甚至WebSphere本身吗？

提前感谢！

Answer 1

你说..。如果我想为URL使用与AD/内部域不同的另一个域？

您是在问DNS域还是AD域？例如，我的URL有DNS和server1.ibm.com，但是AD域是domain1.com吗？

如果是这样，那么首先需要确保在AD域中DNS能够查找URL server1.ibm.com。

接下来，您需要在krb5.ini文件下用AD域domain1.com映射ibm.com，检查这个URL https://www.ibm.com/docs/en/was-zos/9.0.5?topic=server-creating-kerberos-configuration-file和示例-dns austin.ibm.com|raleigh.ibm.com