BusinessObjects Infoview Windows AD 单点登录(Single Sign On)

这两天在搞单点登录,功夫不负有心人,最后还是搞出来了,在网上看了好多文章,自己实际操作的时候还是会遇到很多问题。罗列一下设置的过程,也算是纪念一下这两天的工作。

首先 需要用到两台服务器(一台不行), 一台作为AD服务器, 另外一台当然就是BO服务器了。

环境: Windows Server 2003 En, BO XI 3.1

假设:

AD 服务器机器名:vwindows2003AD

BO 服务器机器名: vwindows03 IP:192.168.1.7

 

以下括号内标注的是所操作的机器名。
1. 安装和配置AD服务器, 网上教程一大堆, 我就不详述了。

域DNS: AD.TEST

域:AD
2. 配置用户(vwindows2003AD)

新建一个叫BO的组,然后新建一个叫boservice的用户,右击boservice用户,进入属性,切换到delegation选项卡, 选择”Trust this user for delegation to any service (Kerberos only)“ ,然后确定。

 

注意: 有的机器可能没有delegation选项卡, 只要右击左边窗格中的域名(AD.TEST),然后选择”Raise Domain Functional Level”, 然后在下拉框中选择”Windows Server 2003″ ,点击确定即可。

 

进入组策略(开始–运行–输入gpedit.msc)–Computer Configuration–Windows Configuration–Security Configuration–Local Security Policy–User Righte Assignment,给boservice或者其所在的用户组配置以下权限:  

•    Act as part of Operating System
•    Log on as a Batch Job
•    Log on as a Service
•    Replace a Process Level Token
3. 使用ktpass(vwindows2003AD)

在确保安装了Windows Support Tools(第一张安装盘中,安装\Support\Tools\suptools.msi)之后,把support tools的安装路径(默认是C:/Program Files/Support Tools/)添加进环境变量。 

在C盘下新建名为mybo的文件夹,打开命令行窗口, 输入以下命令:

ktpass -out c:/mybo/BOSSO.keytab -princ BOSSO/boservice.AD.TEST@AD.TEST -mapuser boservice@AD.TEST-pass mypassword -kvno 255 -ptype KRB5_NT_PRINCIPAL -crypto RC4-HMAC-NT
4. 打开C:/mybo/文件夹,将生成的BOSSO.keytab拷贝到BO服务器的C:/winnt下(如果没有该文件夹,则新建一个)。
5. 在AD服务器上, 运行如下命令。  

setspn -a HTTP/vwindows2003 boservice
setspn -a HTTP/vwindows2003.AD.TEST boservice
setspn -a HTTP/192.168.1.7 boservice

结果应该和下面类似:

HTTP/vwindows2003
Updated object
Registering ServicePrincipalNames for CN=boservice,CN=Users,DC=POWER,DC=INTERNAL
HTTP/vwindows2003.AD.TEST
Updated object
Registering ServicePrincipalNames for CN=boservice,CN=Users,DC=POWER,DC=INTERNAL
HTTP/192.168.1.7
Updated object

6. 用管理员帐号登录BO服务器(vwindows03),将BO服务器添加进AD域 –> 将BO服务器的DNS设置为AD服务器的IP,接着重启BO服务器。

然后将AD\boservice添加进本地的管理员组。
7. 登录CMC,Authentication–Windows AD–Enable Windows AD–点击AD Administrator Name旁边的用户名(初次设置时是双引号),完成如下图设置, 点击update


8. 回到设置界面, 完成 如下图所示设置。  

 

完成后点击update。
9. 在BO服务器上, 运行services.msc,进入windows 服务,右击SIA服务,属性–>Logon–>修改运行身份为AD\boservice,然后重启SIA服务。
10. 在BO服务器上创建”c:\winnt\bsclogin.conf”, 并输入以下内容:

com.businessobjects.security.jgss.initiate {
com.sun.security.auth.module.Krb5LoginModule required debug=true;
};
11. 在BO服务器上创建”c:\winnt\krb5.ini”, 并输入以下内容:

[libdefaults]
default_realm = AD.TEST
dns_lookup_kdc = true
dns_lookup_realm = true
udp_preference_limit = 1
[realms]
AD.TEST = {
kdc = VWINDOWS03AD.AD.TEST
default_domain = AD.TEST
}
12. 在BO服务器上将C:\Program Files\Business Objects\javasdk\bin 添加进环境变量,

并运行如下命令

kinit boservice

接着输入boservice的密码。

运行结果如下所示:

13. 在BO服务器上, 开始–所有程序–Tomcat–Tomcat configuration–Java,在Java Options 中添加如下内容: 

-Djava.security.auth.login.config=C:\winnt\bscLogin.conf
-Djava.security.krb5.conf=C:\winnt\Krb5.ini

-Djcsi.kerberos.maxpacketsize=0
-Djcsi.kerberos.debug=true
14. 在BO服务器上修改 ”C:\Program Files\Business Objects\Tomcat55\webapps\InfoViewApp\WEB-INF\web.xml”中的

  • “authentication.visible”值为 true
  • “authentication.default”值为secWinAD
  • “siteminder.enabled”值为false
  • “idm.realm”值为AD.TEST
  • “idm.princ”值为BOSSO/boservice.AD.TEST
  • 在”idm.princ”结点下方添加如下语句

<init-param>
<param-name>idm.keytab</param-name>
<param-value>c:\winnt\BOSSO.keytab</param-value>
</init-param>

移除filter和filter-mapping结点周围的注释标记

15. 在BO服务器上 将”C:\Program Files\Business Objects\Tomcat55\conf\server.xml”中的

<Connector URIEncoding=”UTF-8″ acceptCount=”100″ connectionTimeout=”20000″ disableUploadTimeout=”true” enableLookups=”false” maxHttpHeaderSize=”8192″ maxSpareThreads=”75″ maxThreads=”150″ minSpareThreads=”25″ port=”80″ redirectPort=”8443″/>

修改为  

<Connector URIEncoding=”UTF-8″ acceptCount=”100″ connectionTimeout=”20000″ disableUploadTimeout=”true” enableLookups=”false” maxHttpHeaderSize=”16384″ maxSpareThreads=”75″ maxThreads=”150″ minSpareThreads=”25″ port=”80″ redirectPort=”8443″/>
16. 在BO服务器上, 运行services.msc,进入windows 服务,右击Tomcat服务,属性–>Logon–>修改运行身份为本地系统账户,如下图所示:

 

17. 重启Tomcat服务。

至此, Infoview + Windows AD SSO 配置完毕。

使用其他机器登录Infoview界面(或者使用域账户登录BO服务器),在弹出对话框中输入域用户,就能登陆Infoview了。

呵呵, 终于写完了,写的过程中还是有不少收获,看来学到点东西, 还是要复述一下, 才能加深印象。

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

您可以使用这些 HTML 标签和属性: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>