Loading

Impossible de générer la configuration de script Kerberos pour Tableau Server

Date de publication: Jul 20, 2023
Description
Lorsque Tableau Server est configuré pour Kerberos et que le script de configuration Kerberos est généré de manière incorrecte, l'erreur suivante peut se produire dans la page de connexion :
Tableau Server could not authenticate you automatically.
Sign in using your Tableau Server credentials. (Tableau Server n'a pas pu vous authentifier automatiquement. Connectez-vous en utilisant vos informations d'identification Tableau Server.)

Il arrive que les utilisateurs ne puissent pas se connecter automatiquement et que les erreurs suivantes s'affichent dans le journal httpd error.log :
gss_acquire_cred() failed: Unspecified GSS failure.  Minor code may provide more information (, No key table entry found matching HTTP/servername.domain.com@) referer: http://<tableau server url>/ (Échec GSS non spécifié. Le code mineur peut fournir quelques informations (, aucune entrée de table de clés n'a été trouvée qui corresponde à HTTP/servername.domain.com@) referer: http://<tableau server url>/)
gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information (, Wrong principal in request), referer: http://<tableau server url>/ (Échec GSS non spécifié. Le code mineur peut fournir quelques informations (, principal erroné dans la demande), consulter : http://<tableau server url>)

Cause

Ce comportement peut s'expliquer par l'une des raisons suivantes :
  • Un type de cryptage autre que RC4-HMAC a été spécifié pour le cryptage keytab lors de l'exécution de ktpass.
  • Le SPN du ticket Kerberos ne correspond pas à ce qui se trouve dans le keytab.
  • Aucun ticket Kerberos n'a été envoyé à Tableau Server.
  • Le keytab a été créé avec un mot de passe erroné.
  • Fournir un ticket Kerberos avec l'URL Tableau Server n'est pas approuvé.
Résolution

Option 1

Si vous travaillez dans un environnement d'entreprise où le chiffrement RC-4 a été désactivé, vous pouvez ajouter « /crypto All » ou « /cypto <encryption to use> » à la commande ktpass pour résoudre ce problème.  Pour plus d'informations sur l'indicateur /crypto, consultez Ktpass dans Microsoft Technet.

Option 2

  1. Si l'URL utilisée pour accéder à Tableau Server est un alias de DNS, la commande ktpass doit utiliser l'enregistrement DNS A à la place.
  2. Si la machine Tableau Server a plusieurs enregistrements DNS A, le keytab généré doit contenir une entrée pour les deux enregistrements DNS A, en utilisant l'option /in /out de ktpass. Pour plus d'informations sur les indicateurs /in /out, consultez Ktpass dans Microsoft Technet.

Option 3

Ajoutez l'URL de Tableau Server à la Zone Intranet dans Options Internet pour faire en sorte qu'un ticket Kerberos soit transmis à Tableau Server. Pour plus d'informations, consultez Prise en charge de l'authentification unique Kerberos par le navigateur.
Ressources supplémentaires
  • Assurez-vous que le DNS (Domain Name System) est capable de résoudre le nom de domaine qualifié complet (FQDN) et l'IP de la machine Tableau Server (recherche nslookup directe et inverse).
  • Vérifiez que le mot de passe utilisé pour la création du fichier keytab correspond au mot de passe du compte Exécuter en tant qu'utilisateur Tableau Server.
  • Dans la commande Ktpass, le mot de passe ne peut pas être transmis à l'aide de l'option *. Pour plus d'informations sur l'indicateur /pass, consultez Ktpass dans Microsoft Technet.
  • Le compte Exécuter en tant qu'utilisateur Tableau Server ne peut pas contenir d'espaces.
  • Pour résoudre le problème, Tableau Server ne doit pas exécuter HTTPS, et vous pouvez utiliser Wireshark pour capture le trafic entre le client et le contrôleur de domaine, et entre Tableau Server et le client.


Numéro d’article de la base de connaissances

001473515

 
Chargement
Salesforce Help | Article