Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 2 3 [4] 5   вперед  Ctrl      все
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
DustySU
Member

Откуда:
Сообщений: 34
KIREAL,

Так и есть. Практически единственная подобная инструкция.
18 янв 10, 16:57    [8203919]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
Очень благодарен за пост по настройке керберос - весьма помог!
У меня вопросы таковы:
1. Из последнего поста KIREAL я понял, что для работы с пользователями из дочерних доменов нужно брать билет на сервере при помощи okinit -k "principal name"? И обновлять его до истечения ticket_lifetime? В настройки krb5.conf не нужно вносить никаких изменений?
2. Пробовал ли кто-нибудь настроить SSO через Kerberos, если домены не дочерние, а из других лесов - просто настроены и работают двусторонние доверительные отношения?
11 май 10, 09:45    [8751863]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
BullDOS,

Приветствую.

1 - Именно так, Вы все верно поняли.

2 - Провел совсем недавно инсталляцию и конфигурацию sso, но в рамках 1 дерева. Работает с дочерними доменами нормально (Мне кажется и по доверительным отношениям не будет проблем).

Если есть ошибки, выставляйте в конфиге sso: SSO_HOME/j2ee/OC4J_SECURITY/config/ уровень логирования:DEBUG и перезапустите sso (opmnctl stopall/startall). Затем ломимся через IE (если хотим использовать WNA) на http://sso_hostname:port/sso

И смотрим в SSO_HOME/sso/log/errServer.log (Вроде так файл называется) диагностируем причину ошибки, устраняем...
13 май 10, 07:43    [8764878]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
KIREAL,
Наверно немного неправильно мы поняли друга. :-)
Под SSO я имел ввиду single sign on - процедуру использования одного логона на подключение к базе оракла. В частности, здесь - это использование Kerberos для поключения к Active Directory и проброса логина на оракловую базу.
Вот у меня как раз ситуация - с родного домена domain.com - вхожу.
А нужно будет еще подключаться к ораклу и из домена domain2.com - из другого леса, но с настроенными двусторонними доверительными отношениями.
14 май 10, 14:31    [8775239]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
KIREAL
Member

Откуда:
Сообщений: 390
BullDOS.

krb5.conf Информация о соответствующем домене из другого леса есть?
Например:

[realms]
 SAM1.RU = {
 kdc = pdc-sam1.sam1.ru:88
 admin_server = pdc-sam1.sam1.ru:749
 default_domain = sam1.ru
          }

SAM2.RU = {
 kdc = pdc-sam2.sam2.ru:88
 admin_server = pdc-sam2.sam2.ru:749
 default_domain = sam2.ru
          }

[domain_realm]
 .sam1.ru = SAM1.RU
 sam1.ru = SAM1.RU
 .sam2.ru = SAM2.RU
 sam2.ru = SAM2.RU
Ну и конечно доверительные отношения между доменами.
15 май 10, 05:00    [8778655]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
KIREAL,

Все настроено. Даже работает, если на клиенте делать okinit. И в sqlnet.ora указывать прямой путь к cc-файлу.
Если же на клиенте указать
SQLNET.KERBEROS5_CC_NAME = OSMSFT://

то аутентикация проходит, если заходишь логином из локального (для компьютера) домена.
И не проходит, если зайти под логином из удаленного (трастового) домена.
При этом в трейсе на клиенте такие строчки:
nauk5bz_fcc_close_file: Returning 129: Internal file credentials cache error.
nauk5bz_fcc_close_file: exit
snauk5cw_oscc_retrieve: Returning 75: Matching credential not found
.....
....
nauk5kt_get_credentials: nauk5kt_get_credentials: Program lacks support for encryption type

То есть причина, судя по всему в кодировке для credentials cache файла. При пользователе локального домена она нормальная (оракл ее читает). При пользаке из другого домена - оракл ее не читает.
17 май 10, 10:21    [8783269]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
masha1
Member

Откуда: Москва
Сообщений: 90
KIREAL
DustySU
KIREAL,

Вы со своей проблемой разобрались?

Нашёл тут статейку, может поможет, вот цитата:

автор
В среде с одним доменом аутентификация Kerberos осуществляется очень просто. Однако в среде со многими доменами, этот процесс происходит в несколько этапов. Причина в том, что когда вы пытаетесь получить билет сессии для сервера, он должен быть получен от KDC того домена, в котором расположен сервер. Поэтому вы должны будете получить несколько билетов сессии, для преодоления доверительных отношений по пути к KDC, к которому вам нужно получить доступ. Пример, приведенный ниже, демонстрирует шаги, необходимые для того, чтобы клиент, расположенный в домене west.win2000trainer.com получил доступ к серверу в домене east.win2000trainer.com.

Клиент входит в систему как пользователь в домене west.win2000trainer.com и получает соответствующий TGT.
Клиент хочет взаимодействовать с сервером в домене east.win2000trainer.com. Он контактирует с KDC в домене west.win2000trainer.com и запрашивает билет сеанса для KDC в домене win2000trainer.com.
После получения этого билета, он контактирует с KDC в домене win2000trainer.com и запрашивает билет сеанса для KDC в домене east.win2000trainer.com.
После получения этого билета, он контактирует с KDC в домене east.win2000trainer.com и запрашивает билет для сервера, к которому ему необходим доступ.
Получив билет сессии для доступа к серверу, клиент имеет доступ к нему в соответствии с имеющимися у него разрешениями.


http://www.kti.ru/data/136/Index.htm


Что то вроде этого Нужно было всего лишь получить билет по keytab для сервера где стоит Oracle DB.
То есть keytab на дочерних доменах не работал, а вот после предъявление билета сервер проходил аутентификацию и мог работать с KDC. Теперь у меня работает скриптик в cron для получения билета. Собственно первый пост может восприниматься как руководство по организации Oracle+Kerberos с учетом наличия многоуровневого дерева доменов.


Добрый день, KIREAL
Не могли бы вы помочь ?

Столкнулись с аналогичной проблемой.
Как вы получили билет по keytab ля сервера где стоит Oracle DB и куда вы его кладете?
То есть keytab на дочерних доменах не работал, а теперь работает?
17 май 10, 15:27    [8786408]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
masha1,

Получить билет по кейтаб:
okinit -k service_principal

получить имя service_principal можно командой:
oklist -k

Должны быть прописаны параметры для kerberos в sqlnet.ora.
17 май 10, 18:19    [8788026]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
masha1,

Параметры в sqlnet.ora на сервере, необходимые для описанного выше:

SQLNET.KERBEROS5_KEYTAB = /etc/krb5.keytab
SQLNET.KERBEROS5_CONF = /etc/krb5.conf

SQLNET.AUTHENTICATION_SERVICES= (KERBEROS5)
SQLNET.KERBEROS5_CONF_MIT = true
SQLNET.AUTHENTICATION_KERBEROS5_SERVICE = имя_сервиса_базы (совпадает с первой частью service-principal из предыдущего поста)


В принципе, два первых можно и не использовать - тогда нужно посмотреть их дефолтные значения для оракла.
Билет сохраняется в credentials-cache файле, который ложится по:
SQLNET.KERBEROS5_CC_NAME=
По умолчанию обычно /tmp/krb5cc_userid.
В принципе процесс настройки не сложен, самое сложное - это получить keytab при помощи ktpass.
17 май 10, 18:31    [8788076]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
BullDOS
KIREAL,

Все настроено. Даже работает, если на клиенте делать okinit. И в sqlnet.ora указывать прямой путь к cc-файлу.
Если же на клиенте указать
SQLNET.KERBEROS5_CC_NAME = OSMSFT://

то аутентикация проходит, если заходишь логином из локального (для компьютера) домена.
И не проходит, если зайти под логином из удаленного (трастового) домена.
При этом в трейсе на клиенте такие строчки:
nauk5bz_fcc_close_file: Returning 129: Internal file credentials cache error.
nauk5bz_fcc_close_file: exit
snauk5cw_oscc_retrieve: Returning 75: Matching credential not found
.....
....
nauk5kt_get_credentials: nauk5kt_get_credentials: Program lacks support for encryption type

То есть причина, судя по всему в кодировке для credentials cache файла. При пользователе локального домена она нормальная (оракл ее читает). При пользаке из другого домена - оракл ее не читает.

имхо причина может быть в другом ... если не сложно, приаттачьте полный трейс клиента ... серверный одновременный тоже приветствуется ...
17 май 10, 18:55    [8788184]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
masha1
Member

Откуда: Москва
Сообщений: 90
BullDOS
masha1,

Параметры в sqlnet.ora на сервере, необходимые для описанного выше:

SQLNET.KERBEROS5_KEYTAB = /etc/krb5.keytab
SQLNET.KERBEROS5_CONF = /etc/krb5.conf

SQLNET.AUTHENTICATION_SERVICES= (KERBEROS5)
SQLNET.KERBEROS5_CONF_MIT = true
SQLNET.AUTHENTICATION_KERBEROS5_SERVICE = имя_сервиса_базы (совпадает с первой частью service-principal из предыдущего поста)


В принципе, два первых можно и не использовать - тогда нужно посмотреть их дефолтные значения для оракла.
Билет сохраняется в credentials-cache файле, который ложится по:
SQLNET.KERBEROS5_CC_NAME=
По умолчанию обычно /tmp/krb5cc_userid.
В принципе процесс настройки не сложен, самое сложное - это получить keytab при помощи ktpass.


Спасибо за ответ.
Но я все равно не совсем поняла.
У нас все настроено для одного домена, и все работает.
А для дочерних доменов авторизация без логина и пароля не проходит.

Вот получить keytab при помощи ktpass это где надо делать? На kdc(домене MS Windows) и потом копировать на сервер БД ?
Keytab должен быть на дочерних доменах?
Не совсем понятно как проходит авторизация через kerbos :(
18 май 10, 15:10    [8793057]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
Biz©,

Вот трейсы.

К сообщению приложен файл (traces.zip - 22Kb) cкачать
18 май 10, 18:08    [8794673]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
masha1,

Если работает для родительского домена - тогда дело не в кейтабах и билетах.
Смотрите в сторону настроек krb5.conf. И на сервере и на клиентах, с которых происходит попытка соединения. Там должны быть прописаны realms для дочерних доменов.

Можете запостить текст его здесь - глянем, посмотрим, поможем.
18 май 10, 18:13    [8794700]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
masha1,

авторизация по керберос проходит - если грубо - по билетам.
Почти как, например, в обычном городском транспорте:
Есть билет - едешь. Только вот у самого транспорта тоже есть билет - чтоб ты был уверен, что это именно городской транспорт, а не какой-нить водила покрасил свой личный автобус под городской и подобным образом снимает деньги на штрафах, которые собирает его же жена под видом контролера.
KDC - это министерство транспорта - которое выпускает эти билеты по строго определенному образцу и с водяными знаками - и реализует их через свои киоски (которые тоже, кстати, имеют свои спецбилетики, чтоб ты был уверен в купленном билете - что он именно от минтранса).

Надеюсь, доступно?
18 май 10, 18:28    [8794784]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
masha1
Member

Откуда: Москва
Сообщений: 90
BullDOS
masha1,

Если работает для родительского домена - тогда дело не в кейтабах и билетах.
Смотрите в сторону настроек krb5.conf. И на сервере и на клиентах, с которых происходит попытка соединения. Там должны быть прописаны realms для дочерних доменов.

Можете запостить текст его здесь - глянем, посмотрим, поможем.


Добрый день.
Спасибо большое за помощь.

У меня krb5.conf там не прописаны дочернии домены.
Если у меня главный домен MOS.ru, а дочерний с1.MOS.ru
Куда мне его прописать?

Вот мой krb5.conf

more krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MOS.RU
dns_lookup_realm = false
dns_lookup_kdc = false
default_tkt_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1
default_tgs_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1
permitted_enctypes = des-cbc-md5 des-cbc-crc des3-cbc-sha1
default_checksum = des-cbc-crc

[realms]
MOS.RU = {
kdc = a.mos.ru:88
admin_server = a.mos.ru:749
default_domain = mos.ru
}

[domain_realm]
.mos.ru = MOS.RU
mos.ru = MOS.RU

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = true
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
19 май 10, 09:53    [8797155]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
masha1,

Для начала несколько наводящих вопросов:
1. У вас домен на Microsoft AD?
2. Сколько у вас домен-контроллеров и DNS серверов в сети? (больше одного?)
3. Настроен ли у вас на этой линукс-машине resolv.conf на адреса DNS у вас в домене?

Вопросы к тому, что все ваши настройки можно упростить и и к тому же обеспечить отказоустойчивость.

Итак, вернемся к нашим баранам:

[realms]
MOS.RU = {
....
....
}
1.MOS.RU = {
kdc = dc.1.mos.ru:88 #буквы "dc" заменить на имя домен-котроллера в домене 1.mos.ru
admin_server = dc.1.mos.ru:749 #буквы "dc" заменить на имя домен-котроллера в домене 1.mos.ru
default_domain = 1.mos.ru
}

[domain_realm]
.mos.ru = MOS.RU
mos.ru = MOS.RU
.1.mos.ru = 1.MOS.RU
1.mos.ru = 1.MOS.RU

раздел [kdc] - можно убрать, если у вас эта линукс машина не является KDC - Key Distribution Center - ом.
19 май 10, 10:10    [8797275]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
masha1
Member

Откуда: Москва
Сообщений: 90
BullDOS
masha1,

Для начала несколько наводящих вопросов:
1. У вас домен на Microsoft AD?
2. Сколько у вас домен-контроллеров и DNS серверов в сети? (больше одного?)
3. Настроен ли у вас на этой линукс-машине resolv.conf на адреса DNS у вас в домене?

Вопросы к тому, что все ваши настройки можно упростить и и к тому же обеспечить отказоустойчивость.

Итак, вернемся к нашим баранам:

[realms]
MOS.RU = {
....
....
}
1.MOS.RU = {
kdc = dc.1.mos.ru:88 #буквы "dc" заменить на имя домен-котроллера в домене 1.mos.ru
admin_server = dc.1.mos.ru:749 #буквы "dc" заменить на имя домен-котроллера в домене 1.mos.ru
default_domain = 1.mos.ru
}

[domain_realm]
.mos.ru = MOS.RU
mos.ru = MOS.RU
.1.mos.ru = 1.MOS.RU
1.mos.ru = 1.MOS.RU

раздел [kdc] - можно убрать, если у вас эта линукс машина не является KDC - Key Distribution Center - ом.


1. Да домен на Microsoft AD
2. Домен-контроллеров и DNS серверов в сети больше одного, у дочерних доменов и у главного домена один контроллер домена и он же является kdc
3. Подключина ли машина к DNS серверу то да.
Попробую вот так прописать сейчас.
А после редактирования krb5.conf перезапускать ничего не нужно?
MOS.RU = {
....
....
}
1.MOS.RU = {
kdc = a.mos.ru:88
admin_server = a.mos.ru:88
default_domain = 1.mos.ru
}

[domain_realm]
.mos.ru = MOS.RU
mos.ru = MOS.RU
.1.mos.ru = 1.MOS.RU
1.mos.ru = 1.MOS.RU
19 май 10, 11:34    [8798095]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
masha1
Member

Откуда: Москва
Сообщений: 90
BullDOS
masha1,

Если работает для родительского домена - тогда дело не в кейтабах и билетах.
Смотрите в сторону настроек krb5.conf. И на сервере и на клиентах, с которых происходит попытка соединения. Там должны быть прописаны realms для дочерних доменов.

Можете запостить текст его здесь - глянем, посмотрим, поможем.


BullDOS вы писали что настройка должна быть на сервере и на клиентах.
На сервере то это krb5.conf, а на клиентах? Клиентах это машины пользователей?
19 май 10, 12:34    [8798812]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
masha1,

2. Домен-контроллеров и DNS серверов в сети больше одного, у дочерних доменов и у главного домена один контроллер домена и он же является kdc


%-0 - это как?!?!?!?!?!?!?!?!??!?!?!?!?!??!?!?!?! У вас одна машина является домен-контроллером для нескольких доменов?!!!!!!!!!!!!
Тогда при этом непонятно начало вашей фразы - "Домен-контроллеров и DNS серверов в сети больше одного"!
20 май 10, 10:10    [8804509]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
masha1,

На клиентах - т.е. на машинах с WinXP (я думаю, у вас она стоит) - тоже есть файлик conf для кербероса. Посмотрите путь к нему на клиентской машине в %ORACLE_HOME%\network\admin\sqlnet.ora
20 май 10, 10:21    [8804617]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
Biz©
Member

Откуда: Snezhinsk
Сообщений: 5687
BullDOS
Biz©,
Вот трейсы.

наскока я пнял вы логинитесь на клиентский компутер домена пользователем другого домена и пытаетесь коннектица к серверу с оракелом, керберизованном в том же домене, что и клиентский компутер. вообще это вариант работы довольно нестандартный и редкий. работает ли нормальный вариант, когда узер логинится нормально в домене своего компутера и коннектица к серверу в другом домене ?
имеется ввиду ессно с osmsft
20 май 10, 11:55    [8804891]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
Biz©,

Я думаю, случай стандартный и нередкий. Microsoft Terminal Services AKA Remote Desktop Services и(или) Citrix Presentation Server. :-)

И разъясню - приложение запускается в терминальном сервере, который находится в одном домене, пользователем из другого домена.

Я проверю с клиентской машины из родного домена. Отпишу.
20 май 10, 16:32    [8808274]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
masha1
Member

Откуда: Москва
Сообщений: 90
BullDOS,

В общем я поняла в чем проблема.
Возможно быть такому. Что у дочернего домена с1.MOS.ru в доверительных отношениях стоит MOS.ru тип дов.отн. Родитель. это значит не явные доверительные отношения?
Какие должны быть доверительные отношения для работы kerbos.

Буду благодарна за помощь, т.к я администратор б.д Oracle и не совсем понимаю в доверительных отношениях между доменами.
7 июн 10, 13:13    [8901777]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
BullDOS
Member

Откуда:
Сообщений: 29
masha1,

Все нормально - "родитель" - это потому что mos.ru родительский домен для 1.mos.ru. Доверительные отношения в одном дереве доменов транзитивные - в обе стороны.
10 июн 10, 17:19    [8925984]     Ответить | Цитировать Сообщить модератору
 Re: Аутентификация Oracle + Kerberos. Вопрос про дочерние домены.  [new]
MucTep T
Member

Откуда:
Сообщений: 6
Доброго времени суток всем!!!

Очень хотелось бы узнать чем закончилась данная эпопея про приручение Kerberos в Oracle....

Недавно столкнулся с данной проблемой, собственно пока решения не нашел....
Суть заключается вот в чем:
Есть два домена AD test1.local и test2.local между ними двусторонние доверительные отношения, сервер Oracle 10g находиться во втором домене test2.local, клиенты как в первом , так и во втором домене. Весь этот зоопарк работает на виндовых платформах:
Oracle,контроллеры доменов на Win2k3R2, клиенты под WinXPSP3....
Все делалось как написано в данном топике (!отдельное спасибо за описание!), поэтому частично этого зверя Kerberos удалось забороть... Во втором домене, где стоит Oracle 10g сервер все хорошо, локальные клиенты домена аутентифицируются под Kerberos, без проблем...А вот клиенты с первого домена ходят лишь в том случае, когда предварительно получаешь билет по okinit. Т.е. как было описано выше при использовании внутреннего кэша винды (OSMSFT://) в sqlnet.ora, Oracle его не распознает, следовательно при аутентификации посылает подальше, ругаясь на Credential retrieval failed и высвечивая в трейсах:
nauk5bz_fcc_close_file: Returning 129: Internal file credentials cache error
nauk5cw_oscc_retrieve: Returning 75: Matching credential not found
nauk5kt_get_credentials: nauk5kt_get_credentials: Program lacks support for encryption type
nauk5a0sendclientauth: Couldn't get service credential

Каждый раз получать билет по okinit,используя отдельный файл для кэша Kerberos, противоречит всей концепции SSO, т.к. в okinit нужно постоянно вводить пароль.

З.Ы. Изучил ресурсы металинка, особенно Bug 3667025 Kerberos cross realm authentication fails using Microsoft Credential Cache (//osmsft) и Bug 5095984 - Kerberos adapter does not support type 4 credential cache file created by kinit, на Oracle сервере стоит последнее на данный момент обновление 10.2.0.5, на контроллерах доменов и клиентах обновление из KB931192 Users in a trusted external Kerberos realm cannot access resources from a Windows Server 2003-based forest to another forest by using a forest trust and a Kerberos trust.....А оно все не хотеть работать.....

Может кто-нибудь нашел выход из данной ситуации,знает какие-нибудь скрипты для автоматизации получения билетов или иной способ заставить это работать , плиз ХЕЛП МИ !!!
12 окт 10, 17:22    [9595303]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 2 3 [4] 5   вперед  Ctrl      все
Все форумы / Oracle Ответить