Loading

Kerberos를 사용하여 인증을 시도할 때 적절한 유형의 키를 찾을 수 없음 오류 발생

게시 일자: Mar 29, 2023
상세 설명

Kerberos SSO를 활성화한 후 Tableau Server URL로 이동할 때 사용자가 자동으로 로그인할 수 없으며 "Tableau Server could not authenticate you automatically(Tableau Server에서 사용자를 자동으로 인증할 수 없습니다)" 메시지가 나타납니다. 

Cause

keytab에 올바른 암호가 포함되어야 합니다.
 
솔루션
1. /crypto로 keytab 파일을 만들 때는 Kerberos KDC(Key Distribution Center)가 지원하는 바에 따라 정확한 암호를 지정하세요. AES 암호를 사용할 경우에는 keytab을 만들 때 /mapuser를 반드시 지정하세요.

Tableau Online 도움말 문서에서 배치 파일 콘텐츠 중 다음 사항에 유의하세요.

REM AES256-SHA1 또는 AES128-SHA1를 사용할 때 /mapuser 옵션을 반드시 포함해야 합니다
REM ktpass 명령의 keytab 파일이 사용자에게 올바르게 매핑되었는지 확인합니다. 예를 들면 다음과 같습니다.
REM ktpass /princ HTTP/!--FQDN--!@!--Kerberos_Realm--! /pass !adpass! /ptype KRB5_NT_PRINCIPAL /mapuser <domain\username> /crypto AES256-SHA1 /out keytabs\kerberos.keytab
REM 다음 예제는 위의 example.lan 구성이 포함된 ktpass 구문을 보여줍니다.
REM ktpass /princ HTTP/!--FQDN--!@!--Kerberos_Realm--! /pass !adpass! /ptype KRB5_NT_PRINCIPAL /crypto DES-CBC-CRC /out keytabs\kerberos.keytab

2. 위에서 사용된 암호화의 유형에 따라 서비스 계정 사용자(RAU) 속성에 적합한 확인란이 선택되었는지 확인합니다. Active Directory 사용자 및 컴퓨터(ADUC) 사용자 레코드에서 선택한 암호화 옵션에 따라 keytab에서 사용해야 할 암호화 유형이 정해집니다.
사용자가 추가한 이미지
 
추가 자원
다음과 같은 정보 또한 중요합니다. 네트워크 팀에 문의하여 아래의 4번을 지원할 KDC 관리자의 도움을 받을 수 있습니다.

1. ktpass의 /princ는 Tableau Server가 사용 중인 URL의 DNS에 있는 A 레코드여야 합니다.
2. 그 이름과 다른 기타 DNS 별칭은 SPN과 관련이 있어야 합니다(짧은 이름 및 정규화된 도메인 이름 모두).
3. 정방향 및 역방향 조회가 작동해야 합니다.
4. 사용 중인 암호는 AD 계정(서비스 계정 사용자)과 keytab 모두에서 지원되어야 합니다(또한 OS/네트워크 설정에 의해 차단되지 않아야 합니다).

추가 참고 사항:
  • keytab에서 가장 중요한 것은 /princ 사용자가 TS URL 엔드포인트의 DNS A 레코드여야 한다는 것입니다. 따라서 네트워크가 해당 A 레코드를 변경하면 keytab을 재생성해야 합니다.
  • 네트워크 변경으로 별칭이 추가될 경우, 해당 별칭은 setspn을 사용하여 SPN으로 추가해야 합니다.
Knowledge 기사 번호

001474338

 
로드 중
Salesforce Help | Article