Loading

Fehler beim Versuch der Authentifizierung mit Kerberos: Schlüssel des entsprechenden Typs nicht gefunden

Veröffentlichungsdatum: Mar 29, 2023
Beschreibung

Nach der Aktivierung von Kerberos SSO werden Benutzer nicht automatisch angemeldet und erhalten die Meldung "Tableau Server could not authenticate you automatically" ((Sie konnten nicht automatisch von Tableau Server authentifiziert werden), wenn sie zu einem Tableau Server-URL navigieren. 

Cause

Die korrekte Verschlüsselung muss in die Schlüsseltabelle aufgenommen werden.
 
Lösung
1. Geben Sie bei der Erstellung der Keytab-Datei mit /crypto die korrekte Verschlüsselung auf der Basis dessen an, was das Kerberos Key Distribution Center (KDC) unterstützt. Geben Sie bei der Verwendung von AES-Verschlüsselungsmethoden unbedingt /mapuser an, wenn Sie die Schlüsseltabelle erstellen.

Notieren Sie aus dem Tableau Online-Hilfe-Artikel Folgendes aus den Inhalten der Stapelverarbeitungsdatei:

REM Bei Verwendung von AES256-SHA1 OR AES128-SHA1 muss die Option /mapuser im Befehl
REM ktpass angegeben werden, um sicherzustellen dass die Keytab-Datei dem Benutzer korrekt zugewiesen wird. Beispiel:
REM ktpass /princ HTTP/!--FQDN--!@!--Kerberos_Realm--! /pass !adpass! /ptype KRB5_NT_PRINCIPAL /mapuser <domain\username> /crypto AES256-SHA1 /out keytabs\kerberos.keytab
REM Das folgende Beispiel zeigt die ktpass-Syntax mit der example.lan-Konfiguration von oben:
REM ktpass /princ HTTP/!--FQDN--!@!--Kerberos_Realm--! /pass !adpass! /ptype KRB5_NT_PRINCIPAL /crypto DES-CBC-CRC /out keytabs\kerberos.keytab

2. Stellen Sie sicher, dass in den Run As User- (RAU)-Eigenschaften das korrekte Kontrollkästchen ausgewählt ist, basierend auf der oben verwendeten Verschlüsselungsart. Die im Benutzerdatensatz in Active Directory-Benutzer und -Computer (ADUC) ausgewählten Verschlüsselungsoptionen geben vor, welcher Verschlüsselungstyp in der Schlüsseltabelle verwendet werden soll.
Vom Benutzer hinzugefügtes Bild
 
Zusätzliche Ressourcen
Die folgenden Informationen sind ebenfalls wichtig für den Erfolg. Bitte arbeiten Sie mit Ihrem Netzwerk-Team zusammen und ziehen Sie einen KDC-Adminstrator hinzu, um Unterstützung bei Punkt 4 unten zu erhalten:

1. /princ in ktpass muss der A-Eintrag im DNS für den URL sein, den Tableau Server verwendet.
2. Dieser Name und alle anderen DNS-Aliasse müssen mit SPNs verknüpft sein (sowohl Kurzname als auch vollqualifizierter Domänenname).
3. Lookup muss vorwärts und umgekehrt funktionieren.
4. Die verwendete Verschlüsselung muss sowohl vom AD-Konto (dem "Ausführen als"-Benutzer) als auch von der Schlüsseltabelle unterstützt werden (und darf nicht durch Betriebssystem-/Netzwerkeinstellungen blockiert sein).

Zusätzliche Punkte:
  • Das Wichtigste bei der Schlüsseltabelle ist, dass der Prinzipal /princl der DNS-A-Eintrag des TS-URL-Endpunkts sein muss. Wenn also Netzwerkänderungen diesen A-Eintrag ändern, muss die Schlüsseltabelle erneut generiert werden.
  • Wenn Netzwerkänderungen etwaige Aliasse hinzufügen, müssten diese mit setspn als SPNs hinzugefügt werden.
Nummer des Knowledge-Artikels

001474338

 
Laden
Salesforce Help | Article