WebSphere Kerberos多跳失败

Question

我们有一个新的第三方应用程序,Linux上的IBM WebSphere,支持SPNEGO,用于我们的Windows AD的SSO.除了一个案例外,这符合预期.

WebSphere调用使用传递身份验证的现有Windows Web服务,因此最终用户凭据将呈现给SQL Server.此Windows安装程序也可以.

什么不起作用:WebSphere凭据不会多跳到SQL Server

摘要

• Windows浏览器 - > IIS Web服务 - > SQL Server =确定
• Windows浏览器 - > IIS GUI - > IIS Web服务 - > SQL Server =确定
• Windows浏览器 - > IBM Web Sphere - > IIS Web服务 - > SQL Server =在"IIS到SQL"跳转失败

失败:

• 在IIS Web服务中,它失败并显示"无法生成SSPI上下文",不正确的目标主体名称等
  
• 在IIS服务器事件日志中(启用Kerberos日志记录)

错误代码:0x24 KRB_AP_ERR_BADMATCH
服务器领域:XXX.CH.OURDOMAIN.COM
服务器名称:MSSQLSvc/oursqlserver.xxx.ch.ourdomain.com:50025
目标名称:MSSQLSvc/oursqlserver.xxx.ch.ourdomain.com:50025 @XXX. CH.OURDOMAIN.COM

其他信息

• IIS Web服务配置为委派(不受约束),它可以从Windows客户端运行
• 为出站约束委派设置IBM WebSphere服务帐户
• 最终用户SSO适用于IBM WebSphere(ergo Kerberos机制等可以)
• IBM WebSphere对IIS Web服务验证OK(同上)
• SQL Server的SPN是正确的(也使用SQL Server Kerberos工具和sys.dm_exec_connections进行验证)
• 这里完成的所有步骤都是https://www.ibm.com/support/knowledgecenter/en/SSAW57_8.5.5/com.ibm.websphere.nd.doc/ae/tsec_SPNEGO_config.html
• IIS GUI和Web服务位于同一台计算机上
• 所有SPN,keytabs,A2D2设置等都可以

从IBM WebSphere到SQL Server的传递跳转,我们缺少什么？

Answer 1

这是一个非常长的 Kerberos 缓存。重新启动服务器，修复它。

Linux 管理员曾说过“无需重新启动：它不是 Windows”