Es trat ein Fehler beim Single-Sign-On im Zusammenspiel mit dem DMD Client auf.
Die Einstellung in der SOD.exe.config "LDAP" Authentifizierung funktionierte, jedoch nicht über die Einstellung „trusted“ = also kein Single-Sign-On .
Hintergrund:
Single-Sign-On läuft bei Nuance über Kerberos am Nuance Management Server
Problem ist, dass der Servicebenutzer nicht die entsprechenden Rechte hat, das Token für die Kerberos-Authentifizierung zu setzen.
In dem Zusammenhang trat auch u.s. Meldung im Ereignisprotokoll am Client auf:
Lösung:
Solution: Usually the NMS Server is installed with a domain user instead of a local user. This is a problem for SSO, because this service user got no SPN which is necessary for Kerberos authentication.
It is necessary to add the correct SPN manually for the domain user on the NMS with the following command:
It is necessary to add the correct SPN manually for the domain user on the NMS with the following command:
setspn -s HTTP/<NMSservername>.<domainname> <domain-user-account>
Example:
setspn -s HTTP/nmsserver.domain.local domain\serviceuser
The user who is executing this command needs domain admin rights.
The NMS Server name needs to be exactly the hostname of the NMS. Usually its the same that is configured in the Servercluster in the NMC (or the name which is visible in the Kerberos error message in the Windows Event Viewer).
If a load balancer is used for multiple NMS, the configuration may differ (depends on the configuration of the load balancer).
As a alternative it is possible to reconfigure the service "NMS Platform" to log on with a local user account.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.