Skip to Content

系統整合就像魔術方塊.JPG

當企業經營規模逐漸擴大時,使用的資訊系統和平台也會逐漸增加,此時帳戶群組管理就會成為一個問題,使用者這麼多,在每個系統都建立會不會太花時間?這麼多系統需要維護,帳戶資訊會不會不一致?這些都是企業會思考的問題,因此在大型跨國管理的企業裡使用WindowsActive Directory(AD)管理群組帳戶是很常見的,而企業裡的各種系統平台也會跟AD做整合,簡化帳戶管理以提升企業工作效率。

然而在XI3.1版的BusinessObjects Enterprise(BOE)AD整合不是簡單一兩個步驟就能完成的,需要一個可委派Kerberos服務的AD網域帳號(Service Principal Name,以下稱為SPN),進行一系列複雜的設定後才可以將對應的AD成員群組加入BOE系統內。而在大型跨國企業裡常常不是只有單一網域環境這麼單純;這個時候我們可能會希望企業提供最上層大網域的帳號做為SPN進行AD整合,但是通常在大型企業的資安考量下,協助整合的企業IT會說:「我們需要經過好幾道行政程序才能取得總公司的帳號。」或者會說:「總公司那邊不允許修改那些帳戶的權限。」、「能不能用我們既有的SPN進行整合設定?」

在專案時程的壓力下,我們要如何縮短甚至省去這些行政程序的時間成本呢?

以下圖的網域架構為例:

網域架構圖.JPGkrb5圖1.JPG

 

假設我們已擁有的SPN所在網域是子公司B.DSC.COM,按照SAP提供的設定文件進行設定(Configuring_Manual_Kerberos_Authentication_and-or_SSO_in_Distributed_Environments_with_XI_3.1 _SP3.pdf),完成之後,C:\WINNT\Krb5.ini此檔案的內容應該如右圖:

在這個設定下,B.DSC.COM網域內的群組帳號可以加入BOE系統而且可以正常登入;但是DSC.COMA.DSC.COMC.DSC.COM網域的群組帳號雖然可以加入BOE系統但是卻無法登入。這是因為我們委派Kerberos服務的SPN是在B.DSC.COM網域內,所以我們把預設網域設定成B.DSC.COM,其他網域的帳號登入時無法從B.DSC.COM找到該帳號,因此無法登入。

krb5圖2.JPG

那麼若要讓所有網域的群組帳號都能登入,是否必須向最上層網域的DSC總公司重新申請提供一個SPN帳戶?並給予委派的權限重新做所有設定?NO!其實是不需要的,我們只需要在Krb5.ini檔案中加入這些網域的主機資訊,並且把預設網域設定成包含所有網域群組帳號的最上層網域,修改如右圖:

修改好Krb5.ini檔案後需要重新啟動Tomcat服務,此時登入還是透過B.DSC.COMSPN委派Kerberos服務,而所有的群組帳號都包含在預設的最上層網域DSC.COM下,所以所有的帳號都能夠登入BOE系統了。

原本需要繁複的行政程序和系統設定才能夠完成,透過這個檔案簡單的設定後,就能達到目的,如此我們就為專案省下了不少的時間成本。魔術方塊完成.JPG

To report this post you need to login first.

Be the first to leave a comment

You must be Logged on to comment or reply to a post.

Leave a Reply