维护 AX 服务器 > Analytics Exchange 验证 > 配置完整的 Windows 验证

配置完整的 Windows 验证

为每个客户端应用程序终端用户设置 Active Directory Domain Controller 服务器、AX 服务器和桌面环境以配置集成 Windows 验证。

配置概览

  1. 在 Active Directory 中创建一个新的 Windows 服务主体名称 (SPN) 帐户,将 AX 服务器验证映射到一个 Active Directory 帐户。要了解步骤,请参考创建 SPN 帐户
  2. 使用 ktpass 命令将 AX 服务器验证服务映射到 Active Directory SPN 帐户。要了解步骤,请参考 将验证服务映射到 SPN 帐户
  3. 使用 setspn 命令注册 AX 连接器服务的 SPN。要了解步骤,请参考添加 AX 连接器服务的 SPN
  4. 可选。将 keytab 文件复制到 AX 服务器实例,然后使用 kinit 命令来测试您的 SPN 帐户映射。要了解步骤,请参考测试 SPN 帐户映射
  5. 在每个终端用户桌面环境中,从 Internet Explorer 启用集成 Windows 验证。要了解步骤,请参考从 Internet Explorer 启用集成的 Windows 验证

创建 SPN 帐户

  1. 在 Active Directory Domain Controller 服务器上,单击启动 > 所有程序> 管理工具 > Active Directory 用户和计算机
  2. 在您想要创建新 SPN 帐户的树状视图中右键单击域条目,选择新建 > 用户
  3. 输入所需的信息,然后单击下一步
  4. 输入必要的用户信息,然后单击下一步
    1. 输入帐户密码。
    2. 取消选择用户必须在下一次登录时更改密码
    3. 选择密码永不过期
  5. 单击完成

将验证服务映射到 SPN 帐户

  1. 在 Active Directory Domain Controller 服务器上,打开命令提示并将目录更改为 ktpass.exe 所在的目录。

    默认位置是 c:\Program Files\Support Tools

  2. 要将验证服务映射到 SPN 帐户,输入如下 keypass 命令:
    ktpass /out filename /princ name /pass password /mapuser local_username /ptype principal_type /crypto encryption_type

要了解 ktpass 语法,请参考 Microsoft Ktpass 参考

示例

ktpass /out 'C:\ax.keytab' /princ HTTP/axserver.ax.com@AX.COM /pass pass1234 /mapuser AXSSO /ptype KRB5_NT_PRINCIPAL /crypto RC4-HMAC-NT

添加 AX 连接器服务的 SPN

  1. 在 Active Directory Domain Controller 服务器上,打开命令提示并将目录修改为 setspn.exe 所在的目录。

    默认位置是 c:\Program Files\Support Tools

  2. 要注册 SPN,输入如下 setspn 命令:
    setspn -A ACLSE/full_domain_and_servername computer_name

    说明

    ACLSE 是识别 AX 连接器所需的值,输入必须全部大写。computer_name 值可以输入为名称域\名

  3. 可选。要验证 SPN  帐号的映射,使用如下 setspn 命令:
    setspn -L computer_name

示例

setspn -A ACLSE/axserver.acl.com axserver

测试 SPN 帐户映射

先决条件:将 Java bin 子文件夹添加到您的路径环境变量,以使用 klist 命令而无需指定完整路径。

set PATH=java_bin_path;%PATH%
  1. 在 Active Directory Domain Controller 服务器上,复制您使用 ktpass 命令创建的 .keytab 文件,并将其粘贴到 AX 服务器的 Windows 目录中。
  2. 在 AX 服务器的 Windows 目录中,创建一个名为 krb5.ini 的文件。
  3. 从命令提示符,使用如下命令验证是否可以读取 keytab 文件:
    klist -k
  4. 要尝试进行验证,使用如下命令:
    kinit username@REALM.COM
  5. 输入用户密码并按回车键

krb5.ini 文件示例

 [libdefaults] ticket_lifetime = 24000 default_realm = <域> default_keytab_name = <keytab 文件的路径> dns_lookup_realm = false dns_lookup_kdc = false default_tkt_enctypes = rc4-hmac default_tgs_encrypes = rc4-hmac [realms] <域> = { kdc = <adserver.domain.com>:88 } [domain_realm] <.domain> = <域> <domain> = <域>

从 Internet Explorer 启用集成的 Windows 验证

  1. 在 Microsoft Internet Explorer 中,单击工具 > Internet 选项 > 高级
  2. 安全组中,选择启用集成 Windows 验证,然后单击应用
  3. 然后单击安全选项卡。
  4. 选择本地内部网图标,然后单击站点
  5. 本地 Intranet对话框中,单击高级,然后输入您的 AX 服务器实例的 HTTPS URL,并单击添加

    示例:https://axserver.ax.com

  6. 单击关闭,在每个打开的对话框中单击确定直到 Internet 选项对话框关闭并重启 Internet Explorer。

下次启动 Internet Explorer 时,更新的设置会生效。