Selbst wenn die SSO-Authentifizierung gemäß der vorliegenden Beschreibung eingerichtet wurde, kann es dennoch vorkommen, dass das Anmelden mit SSO nicht funktioniert. In diesem Fall sollten die nachfolgenden Einstellungen nochmals überprüft werden.

Serverseitige Einstellungen prüfen

  • Kopieren Sie die auf dem Domänen-Server erzeugte keytab-Datei auf den Engineering-Server und aktivieren Sie sie mit folgendem Befehl:

/usr/share/viewpoint/bin/viewpoint-msad.sh set enabled=true principal=HTTP/[Server-Hostname].[Domäne]@[Realm] suffix=@[Realm] keytab=[Pfad auf erzeugte .keytab]

Parameter „principal“

Der Parameter „principal“ leitet sich aus den Parametern ab, die sich bei der Konfiguration des MSAD-Servers ergeben. Weitere Informationen finden Sie unter: Keytab-Datei erstellen. Der Hostname des Siveillance Control-Servers, der Domänenname, der Realmname (häufig identisch mit dem Domänennamen).

Das Format definiert sich immer wie folgt: HTTP/[Hostname].[Domänenname]@[Realmname]

Parameter „suffix“

Der Parameter „suffix“ entspricht immer dem Parameter „principal“ ab @[Realmname].

z. B.:

/usr/share/viewpoint/bin/viewpoint-msad.sh set enabled=true principal=HTTP/tomdomain.siemens.com@siemens.com suffix=@siemens.com keytab=/etc/viewpoint/default.keytab

  • Überprüfen Sie, ob SSO auf dem Server korrekt installiert ist, indem Sie den folgenden Befehl eingeben:
    /usr/share/viewpoint/bin/viewpoint-msad.sh show
  • Die Konfiguration der MSAD-Einstellungen wird angezeigt.

Authentication with MSAD enabled:

enabled: true

principal: HTTP/ vp-server-eng.bt.mchp.intern@bt.mchp.intern

suffix: @bt.mchp.intern

keytab: /etc/viewpoint/vp-server-eng.keytab

  • Stellen Sie Folgendes sicher:
  • enabled ist auf true gesetzt.
  • Der principal-Name stimmt mit dem im MSAD-Server konfigurierten Namen überein.
  • Es wird keine Warnung angezeigt. Nur dann ist die keytab-Datei für den aktuellen Server korrekt konfiguriert.

Browsereinstellungen prüfen

Internet Explorer: Windows-Authentifizierung aktivieren

  1. Aktivieren Sie die Windows-Authentifizierung im Internet Explorer, indem Sie Extras > Internetoptionen > Erweitert > Einstellungen > Sicherheit wählen.
  1. Starten Sie den Rechner neu.

 

Internet Explorer: Automatisch mit Benutzername und Passwort anmelden

Um unnötige Aufforderungen zur Passworteingabe zu vermeiden, können Sie im Browser die SSO-Anmeldung als Standardverfahren einrichten.

  1. Wählen Sie Extras > Internetoptionen > Sicherheit > [zone_des_siveillancecontrol-servers] und klicken Sie auf die Schaltfläche Stufe anpassen.
  1. Wählen Sie in den Sicherheitseinstellungen die Optionen Benutzerauthentifizierung > Anmeldung.
  1. Wählen Sie die Option Automatische Anmeldung mit aktuellem Benutzernamen und Kennwort.

 

Firefox: Den Hostnamen als vertrauenswürdige URL festlegen

Wird Firefox als Browser genutzt, muss der Hostname des Siveillance Control-Servers als vertrauenswürdige URL eingegeben werden.

  1. Geben Sie about:config in die Adresszeile ein.
  1. Geben Sie trusted in das Feld Suche ein.
  1. Suchen Sie network.negociate-auth-trusted-uris und klicken Sie auf die Schaltfläche Bearbeiten.
  1. Geben Sie den Hostnamen ein.
  1. Klicken Sie auf die Schaltfläche Speichern.

Clientseitige Einstellungen prüfen

Falls die SSO-Authentifizierung immer noch nicht funktioniert, können die folgenden Punkte beim Client überprüft werden:

  1. Prüfen Sie, ob der Browser gemäß der Beschreibung in Abschnitt „Browsereinstellungen prüfen“ konfiguriert ist.
  1. Verwenden Sie ping zum Überprüfen, ob der MSAD- und Siveillance Control-Server vom Client aus erreichbar sind.
  1. Stellen Sie sicher, dass der Name des Siveillance Control-Servers nicht in der Datei unter dem Pfad C:\Windows\System32\drivers\etc\hosts des Clients eingegeben ist. Anderenfalls kann es vorkommen, dass die IP-Adresse des Siveillance Control-Servers nicht mittels DNS, sondern statisch über den Wert in der Hostdatei aufgelöst wird, was in der Praxis zu Problemen führt.
  1. Stellen Sie sicher, dass nslookup die richtige DNS-Auflösung für den Siveillance Control-Server liefert:
  1. Stellen Sie sicher, dass die ermittelte IP-Adresse sowie der Name korrekt sind.
  1. Die Systemzeiten auf dem Client, MSAD-Server und Siveillance Control-Server dürfen nicht mehr als eine Minute voneinander abweichen. Eine sinnvolle Lösung hierfür ist, auf dem Siveillance Control-Server eine automatische Zeitsynchronisation mittels eines NTP-Servers einzurichten.

MSAD-Server anpassen

Falls die vorherigen Schritte nicht zu einer erfolgreichen SSO-Authentifizierung führen, passen Sie den MSAD-Server an.

  1. Löschen Sie im Active Directory alle Einträge für den Siveillance Control-Server.
  1. Legen Sie die Einträge neu an.
  1. Generieren Sie die keytab-Datei neu.
  1. Kopieren Sie die keytab-Datei auf den Siveillance Control-Server.