-
Título
Solução de problemas Single Sign On (SSO) para o K1000 -
Descrição
- O recurso Single Sing On (SSO) foi adicionada no servidor na versão 5.5, permitindo que os clientes usem seus logins do Active Directory (AD) atuais, para fazer login na interface do usuário K1000. Este artigo irá discutir alguns dos problemas e soluções para configurar e usar esta opção.
- O recurso Single Sing On (SSO) foi adicionada no servidor na versão 5.5, permitindo que os clientes usem seus logins do Active Directory (AD) atuais, para fazer login na interface do usuário K1000. Este artigo irá discutir alguns dos problemas e soluções para configurar e usar esta opção.
-
Causa
Sintomas, questão 1
o Abertura de um navegador e navegando para o webui K1000, não faz seu login automatico.Sintomas, questão 1
• Você será solicitado para as suas credenciais AD ao acessar o portal web K1000. -
Resolução
Siga as instruções
Tão simples quanto parece, há coisas que às vezes podem ser esquecidas, por isso certifique-se de verificar novamente seus passos para se certificar que tudo está configurado corretamente.
Solução, problema 1 - Resolução DNS
Se o servidor AD não pode ser adequadamente resolvido, então você vai ter o erro mencionado acima na seção causa.Para testar:
- Pingue "Fully Qualified Domain Name" (FQDN) desde a mesma sub-rede do K1000.
- Se ele falhar, você precisa garantir que as máquinas em questão (K1000 e clientes). Estão a apontar para o servidor DNS correto e que há uma série adequada (Host A) criado em seu DNS para o servidor K1000.
- Se você estiver navegando para o seu K1 por algo diferente de seu nome de host ou FQDN, verifique se o registro de DNS é um CNAME e um registro Host (A), não registros 2 Host (A).
Por exemplo:
- kbox hostname: KBOX. Host (A) registro seria chamado kbox
- kbox alias: helpdesk. Deveria ser o registro CNAME apontando ao registro host (A) para o K1000 KBOX, e não ao 2nd registro Host (A).
- Se o seu K1000 esta configurado com um nome de dominio de acceso publico, seu nome K1000 DNS interno deve ser configurado com um registro Host (A), e o nome de dominio externo configurado com um registro CNAME.
Problema, Solução 2 – Agregue o URL do K1000 aos Trusted Sites no IE.
- No Internet Explorer (IE), clique Settings > Internet Options.
- Clique no tab Security.
- Clique na area Trusted Sites.
- Clique Sites.
- Agregue o URL do K1000 URL aos sitios
- Apage e abra de novo o IE e tente acesar ao portal web do K1000.
Problema, Solução 3 – Atualizar as configuracoes do IE a fim de incluir o Log On automatico com atual usuario e senha
- No Internet Explorer (IE), clique Settings > Internet Options.
- Clique no tab Security.
- Clique a zona de Trusted Sites.
- No quadro Internet Options, no tab de Security, selecione Trusted Sites, e logo clique em Custom Level.
- No quadro de Security Settings, baixo Logon, selecione Automatic logon with current user name and password, e logo clique OK.
Problema, Solução 3 – Atualize as configurações do IE para Integrated Windows Authentication
- No Internet Explorer (IE), clique Settings > Internet Options.
- Clique o tab Advance.
- Embaixo a parte de Security habilite Enable Integrated Windows Authentication.
- Clique OK e reinicie o IE.
Problema, Solução 4 – Nome do dominio (Network Settings/SSO) Configuração / Conflitos SSL
Na configuração preferida, o domínio irá corresponder entre:
Settings > Network Settings > Domain (e.g. internal.loc)
Settings > Network Settings > Web Server Name (domain suffix for FQDN - e.g. kace.internal.loc)
Settings > Security > Single Sign On > Domain (e.g. internal.loc)
É possível (mas não recomendado) para ser executado em uma configuração de domínio "misto", mas existem várias advertências:
- O K1000 só pode aderir a um domínio para SSO. Todos os usuários autenticar-se ao K1000 devem ter contas existentes no domínio para o qual o K1000 é unido. Você não pode configurar o K1000, por exemplo, para autenticar via SSO para usuários de domain.com se você se juntou internal.loc para SSO - independentemente da configuração Configurações de Rede.
- Se você usar SSL para acesso à interface pública (por exemplo kace.domain.com) e quer SSO para funcionar em sua rede interna, você deve:
- Configurar DNS split-zone para apontar o nome público (por exemplo kace.domain.com) para o nome da máquina interna do seu K1000 (por exemplo kace.internal.loc) através de um registro CNAME no DNS. Veja Solução 1 para mais informações DNS.
OU
- Apenas acesse o K1000 em sua rede interna por seu nome de host interno (por exemplo kace.internal.loc). Você ainda pode usar registros internos CNAME no DNS para autenticar via SSO usando nomes alternativos (por exemplo helpdesk.internal.loc).
- Ao usar SSL e SSO, a autenticação SSO bem sucedida só acontecerá via HTTPS se a URL que você acessar corresponde ao nome no certificado SSL (por exemplo kace.domain.com).
- Você pode ignorar quaisquer problemas SSL internamente por simplesmente acessando o K1000 via HTTP. Isto, é claro, só funcionam se você não tem a porta 80 para 443 frente habilitado em Configurações de segurança. Nota: Recomendamos fortemente contra o uso de HTTP ao público.
Se nenhum acime resolve o problema:
- Verifique o log de erro, para quaisquer mensagens que possam fornecer uma pista para o problema. Tente pesquisar a totalidade ou parte do erro na Base de Dados de Conhecimento da quest.com como a tecnologia que usamos para SSO foi criado por eles.
- NOTA: Mesmo os SSO se juntar bem-sucedido ao dominio, vai aparecer nos registros.
- NOTA: Por favor, não entre em contato suporte Quest for ajuda com este problema, contacte o suporte KACE.
- Desligue/Ligue de novo o seu cliente.
- Junte de novo o SSO ao domínio nas configurações K1000 Settings > Security Settings > Single Sign On.
- Reinicie o servidor K1000, e o cliente de teste que você está usando.
- Verifique as configurações de firewall para permitir a autenticação Kerberos na porta 88 TCP e UDP 88 entre K1000 e controlador de AD.
- Computadores contêiner no AD tem que ser gravável pela conta de usuário do AD administração que utiliza para a SSO entrar. Verifique duas vezes para garantir que os direitos sobre o contêiner Computadores padrão no AD por:
- Fazer clique dereito no no contêiner dos computadores e indo para propriedades.
- Clique no tab de Security.
- NOTA: Se você não vê essa guia, em Utilizadores AD e computadores, clique em View > Advanced Features.
Create user objects AND Create computer objects precisa ser verificado. - Isto é necessário uma vez que, por padrão, criamos um objeto de computador e utilizador neste recipiente para a junção.
*Nota*
Se as configurações acima estão configurados corretamente e você recebe este erro: "Não foi possível criar arquivo keytab", este é o resultado de não-adesão / re-juntar a sua K1000 para o domínio rapidamente. Esperar e tentar novamente em alguns minutos, isso deve resolver o problema.
Se você ainda está tendo problemas neste momento, por favor entre em contato com o suporte da Quest KACE