¡Caminando hacia el éxito!

Aprende en Comunidad

Avalados por :

Cómo solucionar problemas de autenticación kerberos en Business Objects XI R3.1 con Tomcat y Java 1.5.0_12

  • Creado 01/03/2024
  • Modificado 01/03/2024
  • 6 Vistas
0
Cargando...

Hola,

Estoy ejecutando Business Objects XI R3.1 con Tomcat y Java 1.5.0_12 incluidos. Configuré la autenticación kerberos para AD 2k3. Principalmente estamos utilizando InfoView y CMC. La autenticación funciona bien hasta que se reinicia el primer controlador de dominio (kdc) en mi lista en el archivo krb5.ini (generalmente para parches). El inicio de sesión en IV se cuelga hasta que el DC vuelve a estar en línea o recibo un error (Información de cuenta no reconocida: La autenticación de Active Directory falló al iniciar sesión. Por favor, contacta a tu administrador de sistema para asegurarte de que eres miembro de un grupo mapeado válido e intenta nuevamente......(FWM 00006)). Estoy trabajando con soporte técnico y después de que mi información de kdc esté toda en mayúsculas; lo mejor que pueden ofrecer es una actualización de Java. Estoy dudando de la actualización porque el único documento técnico que pude encontrar que respalda su sugerencia en realidad sugiere una actualización de 1.4 a 1.5. He ejecutado el kinit y recibido tickets. También he probado ya estar conectado a IV cuando se reinicia el primer DC. Todavía puedo moverme por la aplicación durante el reinicio del DC; simplemente no puedo iniciar sesión en una nueva sesión. Tengo una solución temporal para reinicios programados ejecutando una tarea para intercambiar el archivo krb5.ini para que el DC programado para reinicio no sea el primero en la lista, pero me gustaría que el Round Robin funcione. Además, tenemos un Alias en el DNS que debería hacer Round Robin a través de todos los DCs pero eso no funciona en absoluto. Disculpa por la longitud de esta pregunta.

Gracias,

Becki

Pedro Pascal
Se unió el 07/03/2018
Pinterest
Telegram
Linkedin
Whatsapp

4 Respuestas

0
Cargando...

Realmente tenemos las manos atadas en este caso. El krb5.ini es una función del Sun JDK que simplemente preinstalamos. No tenemos control sobre este código y no podemos corregir errores cuando ocurren. Posiblemente el mismo error en la versión .12 esté afectando a la .21 pero no a la .16. Realmente no estoy seguro de por qué solo la .16 parecía no tener este problema.

La mejor solución sería pasar a SSO, que no depende del JDK sino que se basa en AD DNS (sitios). Si esto no es una opción, posiblemente crear un DNS round robin e intentar agregar eso al krb5.ini (asegúrate en DNS de forzar el puerto 88) ya que he visto que el DNS de Microsoft comienza a usar números de puerto aleatorios sin motivo aparente.

Otras opciones, si eres un cliente platino de Sun, ¿quizás puedas conseguir que parcheen el JDK?

Saludos,

Tim

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

He actualizado el jdk a 5.21. Hoy no puedo apagar uno de mis controladores de dominio, así que puse una entrada en el archivo hosts con el 1er DC en la lista apuntando a una dirección IP donde el servidor está apagado. Creo que es una solución alternativa para 'apagar mi DC'. Eventualmente pude iniciar sesión en IV pero tomó alrededor de 5 minutos. Eso probablemente no sea aceptable para nuestros usuarios. ¿Tienes alguna otra sugerencia?

Gracias por tu ayuda.

Becki

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

Gracias por confirmar la solución. Voy a probarla y responderé para informarte si resolvió nuestro problema.

Becki

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019
0
Cargando...

La solución que te mencioné es bastante nueva y la descubrí por accidente. Un cliente que tenía el problema que mencionas tenía 3 servidores. 1 con JDK 1.5.0.16 y los otros dos con .12. El .16 funcionaba como se esperaba, los otros dos seguían colgándose con malos DC en su krb5.ini. La nota 1252507, que detalla cómo reemplazar el JDK por los numerosos problemas que enfrentamos en la versión 1.4, también se puede usar para versiones más nuevas de 1.5. Lo bueno es que puedes conservar el directorio antiguo del JDK y simplemente detener el sia y cambiarlos en cualquier momento que desees. Si se resuelve, esto sería otra de las muchas fallas de Sun con AD. Si no, entonces elimina tu JDK como un problema y obtén la versión más nueva (que generalmente tiene menos errores) y si deseas, cámbialos de nuevo.

Saludos,

Tim

Respondido el 15/04/2024
LUCIANO RIOJA GHIOTTO
Se unió el 13/07/2019

contacto@primeinstitute.com

(+51) 1641 9379
(+57) 1489 6964

© 2024 Copyright. Todos los derechos reservados.

Desarrollado por Prime Institute

¡Hola! Soy Diana, asesora académica de Prime Institute, indícame en que curso estas interesado, saludos!
Hola ¿Puedo ayudarte?