1. Zuhause
  2. Frage und Antwort
  3. SSO-Konfiguration mit Weblogic 11g OEL

SSO-Konfiguration mit Weblogic 11g OEL

2016-08-22 2 views
0

Ich erhalte folgenden Fehler in Weblogic beim Zugriff auf Anwendung über AD-Benutzer für SSO.SSO-Konfiguration mit Weblogic 11g OEL

> <> <> <1471875042422> <BEA-000000> <com.bea.common.security.internal.legacy.service.ChallengeIdentityAssertionProviderImpl$ChallengeIdentityAsserterV2Adapter.assertChallengeIdentity(Authorization.Negotiate)> 
####<22-Aug-2016 15:10:42 o'clock BST> <Debug> <SecurityAtn> <ndl-wln-100.centricait.com> <ND_Manage1> <[ACTIVE] ExecuteThread: '1' for queue: 'weblogic.kernel.Default (self-tuning)'> <<WLS Kernel>> <> <> <1471875042422> <BEA-000000> <GSSExceptionInfo:> 
####<22-Aug-2016 15:10:42 o'clock BST> <Debug> <SecurityAtn> <ndl-wln-100.centricait.com> <ND_Manage1> <[ACTIVE] ExecuteThread: '1' for queue: 'weblogic.kernel.Default (self-tuning)'> <<WLS Kernel>> <> <> <1471875042423> <BEA-000000> < major: (13) : No valid credentials provided> 
####<22-Aug-2016 15:10:42 o'clock BST> <Debug> <SecurityAtn> <ndl-wln-100.centricait.com> <ND_Manage1> <[ACTIVE] ExecuteThread: '1' for queue: 'weblogic.kernel.Default (self-tuning)'> <<WLS Kernel>> <> <> <1471875042423> <BEA-000000> < minor: (-1) : Failed to find any Kerberos credentails> 
####<22-Aug-2016 15:10:42 o'clock BST> <Debug> <SecurityAtn> <ndl-wln-100.centricait.com> <ND_Manage1> <[ACTIVE] ExecuteThread: '1' for queue: 'weblogic.kernel.Default (self-tuning)'> <<WLS Kernel>> <> <> <1471875042423> <BEA-000000> <acceptGssInitContextToken failed 
com.bea.security.utils.kerberos.KerberosException: No valid credentials provided (Mechanism level: Failed to find any Kerberos credentails) 
     at com.bea.security.utils.kerberos.KerberosTokenHandler.acceptGssInitContextTokenInDoAs(KerberosTokenHandler.java:334) 
     at com.bea.security.utils.kerberos.KerberosTokenHandler.access$000(KerberosTokenHandler.java:41) 
     at com.bea.security.utils.kerberos.KerberosTokenHandler$1.run(KerberosTokenHandler.java:226) 
     at java.security.AccessController.doPrivileged(Native Method) 
     at javax.security.auth.Subject.doAsPrivileged(Subject.java:536) 
     at com.bea.security.utils.kerberos.KerberosTokenHandler.acceptGssInitContextToken(KerberosTokenHandler.java:224) 
     at com.bea.security.utils.kerberos.KerberosTokenHandler.acceptGssInitContextToken(KerberosTokenHandler.java:152) 
     at com.bea.common.security.internal.utils.negotiate.SPNEGONegotiateToken.getUsername(SPNEGONegotiateToken.java:57) 
     at weblogic.security.providers.authentication.NegotiateIdentityAsserterProviderImpl.assertChallengeIdentity(NegotiateIdentityAsserterProviderImpl.java:210) 
     at com.bea.common.security.internal.legacy.service.ChallengeIdentityAssertionProviderImpl$ChallengeIdentityAsserterV2Adapter.assertChallengeIdentity(ChallengeIdentityAssertionProviderImpl.j

Ich habe bereits keytab mit kinit -V -k -t negotestserver.keytab HTTP/[email protected] seine erfolgreich authentifizierte verifiziert. Frage mich, was die Lösung dieses Problems jede Hilfe wird geschätzt.

Quelle

2016-08-22 Muhammad Faheem Khan

+0

Ist dies für verschiedene Benutzer möglich? Tritt dies auf verschiedenen Arbeitsplätzen auf? Welchen Browser benutzen Sie? – misha2400

+0

siehe auch meinen Kommentar unter http://stackoverflow.com/questions/28041640/weblogic-kerberos-sso/28223529#28223529, um die Protokollierungsstufe zu ändern, um weitere Informationen im Protokoll anzuzeigen. – misha2400

+0

misha2400: Ich benutze einen Test-AD-Benutzer, der Rollen im Oracle Internet Directory zugewiesen hat. Ich benutze IE11 ... nop ich habe keinen anderen Benutzer versucht. Und benutze Einzel-Client-Workstation, die über VDI –

Antwort

0

Wahrscheinlich ist das Ticket, das vom Browser an Weblogic gesendet wird, kein Kerberos-Ticket, sondern NTLM. Es kann viele Gründe geben, warum IE NTLM über Kerberos verwendet, die meiste Zeit sind es falsche Einstellungen oder Windows-Einstellungen. Können Sie das Ticket in Ihrem Protokoll überprüfen? Wenn es so etwas wie folgt aussieht:

YIGCBgYrBgEFBQKgeDB2oDAwLgYKKwYBBAGCNwICCgYJKoZIgvcSAQICBgkqhkiG9xIBAgIGCisGAQQBgjcCAh6iQgRATlRMTVNTUAABAAAAl7II4g4ADgAyAAAACgAKACgAAAAGAbEdAAAAD0xBUFRPUC0yNDVMSUZFQUNDT1VOVExMQw==

es ist NTLM. Kerberos-Ticket ist mindestens doppelt so lang.

Quelle

2016-08-23 19:58:56 misha2400

+0

nach Patch jdk Sicherheitsdateien nach diesem Oracle-Dokument Für Oracle JDK 7: Laden Sie Java Cryptography Extension (JCE) unbegrenzt Stärke Jurisdiction Policy Dateien 7 von Link: http://www.oracle.com/technetwork/java/javase/ downloads/jce-7-download-432124.html. 2 JAR-Dateien unter "/jre/lib/security" mit 2 JAR-Dateien in heruntergeladene ZIP-Datei überschreiben Das Problem mit den Anmeldeinformationen scheint gelöst zu sein, aber jetzt wird Token nicht von Negotiate Filter unterstützt und ignoriert: NTLM "yup du hast recht Browser sendet NTLM anstelle von Kerberos .. alle Fix für diese –

+0

wir haben alle Server in der gleichen Domäne .. –

+0

gab es zwei Einträge von Weblogic-Host in AD setspn -l machinename nach dem Entfernen von ihnen und erstellen neue Keytab mit voll qualifizierten Domain-Namen setspn -S HTTP/[email protected] und ktpass auch mit FQDN im Stande zu machen, dass sso für weblogic Konsole funktioniert ... aber Anwendung funktioniert immer noch nicht –

Verwandte Themen

 Verwandte Themen