witch doctor Geschrieben 25. September 2007 Teilen Geschrieben 25. September 2007 Hallo, ich möchte gerne mit einer anderen Software ein Single-Sign On machen. Dazu benötige ich ja Kerberos. Leider funktioniert es nicht so wie ich es möchte. Jetzt vermute ich, dass Kerberos nicht aktiv, allerdings soll doch Kerberos standardmäßig aktiv sein oder?? Muss man evtl. auch am Client etwas einstellen? Kann man überhaupt Kerberos in Win2003 aktivieren und deaktivieren? Ich hoffe, dass ich mich einigermaßen verständlich ausgedrückt habe. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
toppy Geschrieben 25. September 2007 Teilen Geschrieben 25. September 2007 In dem RessourceKit vom 2000/2003 Server gibt es ein Tool namens "Kerbtry" --> Link Dieses Tool auf dem CLient ausführen und du siehst zumindest, ob dieser ein Kerberos-Ticket erhält. Im IE muss glaube ich auch "Integrierte Windows-Authentifizierung aktivieren" aktiviert sein. Ebenso erlaubt Kerberos nur eine maximale zeitliche Abweichung von 5 Minuten - daher mal die Zeit vom Server und CLient abgleichen. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
witch doctor Geschrieben 25. September 2007 Autor Teilen Geschrieben 25. September 2007 Ich denke Tickets werden erstellt. Die Zeit müsste ich noch überprüfen, sagtest du. Wie mache ich das? Sorry, habe nicht viel Ahnung von Windows 2003. Versuche es mir gerade ein wenig beizubringen. Es kann natürlich auch sein, dass der Fehler nicht auf Windows Seite sich befindet, sondern bei der anderen Software. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
toppy Geschrieben 26. September 2007 Teilen Geschrieben 26. September 2007 Die Zeit müsste ich noch überprüfen, sagtest du. Wie mache ich das? Naja, ich würde persönlich mal unten rechts auf die Zeit schauen Was mir noch aufgefallen ist: In dem Screenshot ist was von "mycompany.local" zu lesen. Das war doch sicherlich nur irgendwo ein Beispiel und muss doch durch deine wirkliche Domäne ersetzt werden. Daher denke ich, dass hier noch ein Fehler bei der eigentlichen SSO-Konfiguration vorliegt. Für welche Anwendung soll denn das sein? Vielleicht findet man ja noch eine gute Doku dazu... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
witch doctor Geschrieben 26. September 2007 Autor Teilen Geschrieben 26. September 2007 Handelt sich um eine Firmeneigenes Produkt. MYDOMAIN.local ist schon richtig, handelt sich auch "nur" um ein Testsystem. Die Uhrzeit habe ich verglichen, sie ist bis auf ein paar Sekunden identisch. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
witch doctor Geschrieben 26. September 2007 Autor Teilen Geschrieben 26. September 2007 Habe jetzt im Logfile der Client Software gesehen, dass die keine Kerberos Pakete losschickt. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.