[60988] in SAPr3-news
SSO mit KerberosV5 und AD
daemon@ATHENA.MIT.EDU (wima)
Tue Jun 10 08:40:38 2008
To: sapr3-news@mit.edu
Date: Tue, 10 Jun 2008 05:40:05 -0700 (PDT)
From: wima <marco.willisch@gmx.ch>
Message-ID: <f1c1a7a5-a4cf-44d1-85cc-4622456b551b@26g2000hsk.googlegroups.com>
Hi folk
Z.Z. versuche ich in einer Win-Dom=E4ne mit SAP NW(W2K3) das SSO mit
Kerberos V5 mit Anbindung an Active Directory (W2K3) zu
konfigurieren.
Leider komme ich nur bis zur Konfiguration des SNC.
Was wurde bereits erledigt:
- ein lokaler Win-User wurde auf dem SAP Server erstellt (sapacct)
- SPN wurde im AD f=FCr den SAP-Service an den sapacct-user erstellt
- der sapacct wurde der lokalen Admingruppe angeh=E4ngt
- die Kerberos Bibliothek (gsskrb5.dll) wurde auf dem SAP server
aktualisiert
- SAPSSO.msi wurde auf dem SAP server installiert
- SNC wurde auf dem SNC System konfiguriert (Profilparameter)
nach Stoppen und Neustart der SAP-Instanz, um die neuen
Profilparameter zu aktivieren, stockt das SAP System bzw. die Services
kommen nicht zum Laufen. Folgende Fehlermeldungen:
N SncInit(): found snc/gssapi_lib=3DC:\WINDOWS\system32\gsskrb5.dll
N File "C:\WINDOWS\system32\gsskrb5.dll" dynamically loaded as GSS-
API v2 library.
N The internal Adapter for the loaded GSS-API mechanism identifies
as:
N Internal SNC-Adapter (Rev 1.0) to Kerberos 5/GSS-API v2
N SncInit(): found snc/identity/as=3Dp:sapacct@XXXXX.CH
N
N Mon Jun 09 09:21:15 2008
N *** ERROR =3D> SncPAcquireCred()=3D=3DSNCERR_GSSAPI [sncxxall.c 1432]
N GSS-API(maj): No valid credentials provided (or available)
N GSS-API(min): SSPI-Problem: Credentials not usable for
rfc-1964 Kerberos
N Could't acquire ACCEPTING credentials for
N
N name=3D"p:sapacct@CIRRUS.CH"
M *** ERROR =3D> ErrISetSys: error info too large [err.c 944]
M Mon Jun 09 09:21:15 2008
M LOCATION SAP-Server eagle_S00_00 on host eagle (wp 0)
M ERROR GSS-API(maj): No valid credentials provided (or
available)
M GSS-API(min): SSPI-Problem: Credentials not usable for rfc-1964
Kerber
M name=3D"p:sapacct@XXXXX.CH"
M TIME Mon Jun 09 09:21:15 2008
M RELEASE 700
M COMPONENT SNC (Secure Network Communication)
M VERSION 5
M RC -4
M MODULE sncxxall.c
M LINE 1432
M DETAIL SncPAcquireCred
M SYSTEM CALL gss_acquire_cred
M ERRNO
M ERRNO TEXT
M DESCR MSG NO
M DESCR VARGS GSS-API(maj): No valid credentials provided (or
available);;;;
M ;;;;GSS-API(min): SSPI-Problem: Credentials not usable for rfc-1964
Kerber;;;;
M ;;;;name=3D"p:sapacct@XXXXX.CH"
M DETAIL MSG N
M DETAIL VARGS
M COUNTER 1
N SncInit(): Fatal -- Accepting Credentials not available!
N <<- ERROR: SncInit()=3D=3DSNCERR_GSSAPI
N sec_avail =3D "false"
M ***LOG R19=3D> ThSncInit, SncInitU ( SNC-000004) [thxxsnc.c 230]
M *** ERROR =3D> ThSncInit: SncInitU (SNCERR_GSSAPI) [thxxsnc.c 232]
M in_ThErrHandle: 1
M *** ERROR =3D> SncInitU (step 1, th_errno 44, action 3, level 1)
[thxxhead.c 10283]
irgendwie kommt er mit den credentials nicht klar. Ich nehme nicht an,
dass ich eine keytab manuell erstellen muss, da dies das AD
automatisch macht oder?
Hat jemand schon Erfahrungen damit und kann mir weiterhelfen oder hat
L=F6sungsans=E4tze?
Gruss und Dank
wima
