Loading

Error "Cannot Find Key of Appropriate Type" al intentar realizar la autenticación con Kerberos

Fecha de publicación: Mar 29, 2023
Descripción

Después de habilitar el SSO de Kerberos, los usuarios no inician sesión automáticamente y reciben el mensaje "Tableau Server could not authenticate you automatically" (Tableau Server no pudo realizar la autenticación automáticamente) al navegar a una URL de Tableau Server. 

Cause

Se debe incluir el cifrado correcto en el keytab.
 
Solución
1. Especifique el cifrado correcto al crear el archivo keytab con /crypto en función de lo que admita el Kerberos Key Distribution Center (KDC). Si utiliza cifrados AES, asegúrese de especificar /mapuser al crear el keytab.

En el artículo de ayuda de Tableau Online, observe lo siguiente del contenido del archivo por lotes:

REM Cuando se utiliza AES 256-SHA1 O AES 128-SHA1, se debe incluir la opción /mapuser.
REM en el comando ktpass para garantizar que el archivo keytab se asigne correctamente al usuario. Por ejemplo:
REM ktpass /princ HTTP/!--FQDN--!@!--Kerberos_Realm--! /pass !adpass! /ptype KRB5_NT_PRINCIPAL /mapuser <domain\username> /crypto AES256-SHA1 /out keytabs\kerberos.keytab
REM El siguiente ejemplo muestra la sintaxis ktpass con la configuración example.lan de arriba:
REM ktpass /princ HTTP/!--FQDN--!@!--Kerberos_Realm--! /pass !adpass! /ptype KRB5_NT_PRINCIPAL /crypto DES-CBC-CRC /out keytabs\kerberos.keytab

2. Asegúrese de que las propiedades Ejecutar como usuario (RAU) tienen seleccionada la casilla correcta en función del tipo de cifrado utilizado anteriormente. Las opciones de cifrado seleccionadas en el registro de usuario en Active Directory Users and Computers (ADUC) dictan qué tipo de cifrado debe utilizarse en el keytab.
Imagen añadida por un usuario.
 
Recursos adicionales
La siguiente información también es importante para el éxito. Trabaje con su equipo de red e incluya un administrador de KDC para que colabore con el número 4 a continuación:

1. /princ en ktpass debe ser el registro A en el DNS para la URL que utiliza Tableau Server.
2. Ese nombre y cualquier otro alias de DNS deben tener SPN asociados (tanto shortname como fqdn).
3. Debe funcionar la búsqueda directa e inversa.
4. El cifrado utilizado debe ser compatible tanto con la cuenta de AD (el usuario que se ejecuta como usuario) como con el archivo keytab (y la configuración del sistema operativo o de la red no debe bloquearlo).

Puntos adicionales:
  • Lo importante del keytab es que el /princ principal debe ser el registro A de DNS del extremo de la URL de TS. Entonces, si los cambios en la red cambian ese registro A, se tiene que volver a generar el keytab.
  • Si los cambios en la red agregan algún alias, se debe agregar como SPN con setspn.
Número del artículo de conocimiento

001474338

 
Cargando
Salesforce Help | Article