Loading

Kerberos を使用して認証を試みたときの適切なタイプのキーが見つからないエラー

公開日: Mar 29, 2023
説明

Kerberos SSO を有効にした後に、Tableau Server URL に移動すると、ユーザーは自動的にサインインせず、メッセージ "Tableau Server could not authenticate you automatically (Tableau Server がユーザーを自動認証できません)" が表示されます。 

Cause

キータブに正しい暗号を含める必要があります。
 
解決策
1. /crypto によるキータブ ファイルの作成時に、Kerberos Key Distribution Center (KDC) でサポートされているものに基づいて、正しい暗号を指定します。AES 暗号を使用する場合、キータブの作成時に、/mapuser を指定してください。

Tableau オンライン ヘルプ記事から、バッチ ファイル コンテンツの次の内容に注意してください。

REM When using AES256-SHA1 OR AES128-SHA1, the /mapuser option must be included 
REM in the ktpass command to ensure the keytab file is mapped properly to the user.For example:
REM ktpass /princ HTTP/!--FQDN--!@!--Kerberos_Realm--! /pass !adpass! /ptype KRB5_NT_PRINCIPAL /mapuser <domain\username> /crypto AES256-SHA1 /out keytabs\kerberos.keytab
REM The following example shows the ktpass syntax with the example.lan configuration from above:
REM ktpass /princ HTTP/!--FQDN--!@!--Kerberos_Realm--! /pass !adpass! /ptype KRB5_NT_PRINCIPAL /crypto DES-CBC-CRC /out keytabs\kerberos.keytab

2. 実行ユーザー (RAU) プロパティで、上記で使用されている暗号のタイプに基づいて、正しいチェックボックスが選択されてることを確認します。Active Directory ユーザーとコンピューター (ADUC) のユーザー レコードで選択されている暗号化オプションは、キータブで使用する必要がある暗号化のタイプを示しています。
ユーザーが追加した画像
 
その他のリソース
成功のためには次の情報も重要です。ネットワーク チームと協力し、KDC 管理者を含めて、下記の 4 番を支援してもらってください。

1. ktpass の /princ を、Tableau Server が使用している URL の DNS の A レコードにする必要があります。
2. その名前と他のすべての DNS 別名に、SPN (短い名前と FQDN の両方) を関連付ける必要があります。
3. 前方参照と逆引き参照が機能する必要があります。
4. 使用されている暗号が AD アカウント (実行ユーザー) とキータブの両方でサポートされている (および OS やネットワーク設定でブロックされていない) 必要があります。

追加ポイント:
  • キータブに関して最も重要なことは、/princ プリンシパルを TS の URL エンドポイントの DNS A レコードにする必要があることです。そのため、ネットワークの変更によって、その A レコードが変更された場合、キータブを再生成する必要があります。
  • ネットワークの変更によって、何らかの別名が追加された場合、それらを setspn で SPN として追加する必要があります。
ナレッジ記事番号

001474338

 
読み込み中
Salesforce Help | Article