Loading...
 
Print

Einrichten von SPNego mit dem Wizard

Um auf einer J2EE Engine SPNego einzurichten ist der SPNego Wizard immer ein sehr guter Startpunkt.

Die folgenden Blogs beschreiben zum einen die Konfiguration und ein evtl. notwendiges Troubleshooting:
Configuring and troubleshooting SPNego — Part 1
Configuring and troubleshooting SPNego — Part 2
Configuring and troubleshooting SPNego — Part 3
Configuring SPNego with ABAP datasource
Single Sign On to BSP pages from Duet's Action Pane
Usermapping with J2EE Engine
Configuring SPNego with ABAP datasource — Part 2
Encryption everywhere — Securing your Duet landscape
SSO with SPNego not working on Windows 7 / Windows 2008 R2
Single Sign On to BSP pages
Open Search Whitepaper
New SPNego login module - just around the corner

Link Wiki to Redirect JSP

New SPNego Login Module

help.sap.com - Troubleshooting

Latest Java Version: Note 716604

SAP Guidelines for Best-Built Applications That Integrate with SAP Business Suite

In aller Kürze zusammengefaßt kann man sagen:

  • Deployment der SCA-Dateien mit dem SDM
  • Über das Config-Tool wird die Datei dataSourceConfiguration_ads_readonly_db_with_krb5.xml hochgeladen und aktiviert
  • Hier müssen zum ersten Mal die Daten für den ADS eingeben werden
  • Im ADS muss als nächstes ein "Service-Benutzer" für SPNego angelegt werden. Dieser muss die Eigenschaften "Password never expires" und "Use DES encryption" haben.
  • Über setspn -a HTTP/<URL zur J2EE Engine> <Servicebenutzer> können ServicePrincipalNames gesetzt werden
  • Nach einem Neustart der J2EE Engine kann der SPNego Wizard über /spnego aufgerufen werden
  • Hier müssen nur die REALM und die Daten zum KDC angegeben werden
  • Prefixbased ist die sicherste Methode für den Lookup der Namen
  • Die SPNego Konfiguration würde ich — aus Flexibilitätsgründen — als Template anlegen
  • Noch ein Neustart der J2EE Engine und das sollte es gewesen sein (ein Neustart wird zwar in der Doku — und auch als letzter Schritt im Wizard — beschrieben, ist aber nicht zwingend notwendig!)

 
Wenn die Anmeldung noch nicht so funktioniert, wie man sich das wünscht, dann ist der erste Schritt die Verwendung des diagtools. Das Diagtool liegt inzwischen auch in einer Web-Version vor.

 
Weitere Informationen

  • Kerberos Realm

Einen sehr einfachen Weg, um die Realm herauszufinden ist, auf dem Client das Set-Kommando in einer Console abzusetzen. Das Ergebnis unter
USERDNSDOMAIN ist dier Kerberos REALM
(nicht USERDOMAIN)

  • Java Doc

Die JavaDoc von Sun zu Kerberos gibt es hier:
Java Doc: Class Krb5LoginModule (Ist zwar für Java 6.0, aber die für 1.4.2 wurde schon lange Zeit nicht mehr upgedatet)

  • Sun Troubleshooting SPNego

http://java.sun.com/j2se/1.4.2/docs/guide/security/jgss/tutorials/Troubleshooting.html

  • Firefox und SPNego

Firefox konfigurieren

  • Konfiguration von SPNego und Anonymous Access

JSP Files redirect.ear bzw. https://forums.sdn.sap.com/click.jspa?searchID=15524368&messageID=5800982

Troubleshooting SPNego issues
If Kerberos still does not work on single PCs (but several other clients are working) it is worth to check the System logs in the event log as well. Do you see any Kerberos / ADS related errors in there?
I had the following erros in my event logs:

  • Attempt to update DNS Host Name of the computer object in Active Directory failed. The updated value was 'hostname'. The following error occurred:

The parameter is incorrect.

I followed http://support.microsoft.com/?scid=kb%3Ben-us%3B258503&x=15&y=5, set the ServicePrincipalName on the DC and deleted some old entries for my client there. Then I also set the flag "Change primary DNS suffix when domain membership changes" on the client and entered the new domain name.
Finally I activated Kerberos logging:
http://support.microsoft.com/?scid=kb%3Ben-us%3B262177&x=16&y=15
Windows Registry Editor Version 5.00

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
"LogLevel"=dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
"LogLevel"=dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
"KerbDebugLevel"=dword:FFFFFFFF

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
"KerbDebugLevel"=dword:FFFFFFFF

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos
"LogToFile"=dword:00000001

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
"LogToFile"=dword:00000001

which resulted in useful logs in C:\Windows\System32\lsass.log

Kerberos error codes
http://www.monitorware.com/Common/en/SecurityReference/Kerberos-failures.php

Kerberos Authentication problems – Service Principal Name (SPN) issues - Part 3
http://blogs.technet.com/askds/archive/2008/06/09/kerberos-authentication-problems-service-principal-name-spn-issues-part-3.aspx


Last blog posts

Last blog post comments

No records to display