Назад | Перейти на главную страницу

Система единого входа IBM WebSphere Application Server не устанавливает REMOTE_USER в Cognos BI 10.2.2

Здесь была размещена очень похожая проблема, я не верю, что они одинаковы.

IBM WebSphere Application Server SSO неправильно устанавливает REMOTE_USER

Мы используем IBM Cognos Business Intelligence Server 10.2.2 (без других дополнительных программных продуктов) на WebSphere Application Server BASE версии 8.5.5.2, оба программного обеспечения на сервере AIX версии 7. Мы пытаемся настроить RSA SSO с помощью базовой HTTP-аутентификации из WebSphere в Cognos. Для аутентификации мы используем настраиваемого поставщика аутентификации как для WebSphere, так и для Cognos.

Мы используем два профиля WAS: один для запуска Cognos Servlet Gateway (для сопоставления шаблонов / ServletGateway / *), а другой для запуска Content Manager и Reporting Services (для сопоставления с образцами / p2pd / servlet / dispatch).

После редактирования и развертывания jar-файла Cognos CJAP (настраиваемого поставщика аутентификации Java) и внесения изменений в ... / war / gateway / web.xml и ... / war / gateway / application.xml.template, создание новых EAR-файлов приложений и при их развертывании вход в систему работает нормально ... Мне задают вопрос по имени пользователя и паролю, ввод правильных учетных данных приведет к авторизации пользователя на портале Cognos. При просмотре заголовка http, как и ожидалось, Remote_User имеет значение null.

Что-то идет не так, когда мы пытаемся включить SSO. В WebSphere мы включаем глобальную безопасность, настраиваем сертификаты между двумя профилями и т. Д., И после этого Remote_User не заполняется.

Я являюсь автором вопроса, на который вы указали ссылку, мне еще не разрешено комментировать, поэтому я должен опубликовать это в ответе. Считаете ли вы, что решение для перезагрузки сертификатов могло бы работать, если бы мы использовали один профиль? Мы используем один профиль для всего, поскольку у нас есть версия WebSphere ND, мы просто используем два разных сервера приложений, чтобы разделять приложения диспетчера и шлюза.

При просмотре сертификатов SSL в консоли Websphere мы заметили, что отпечатки различных сертификатов не совпадают. Когда один и тот же сертификат просматривался на консолях обоих профилей WAS, отпечатки пальцев не совпадали.

Таким образом, похоже, что глобальная безопасность не работает между двумя профилями WAS. После долгих исследований мы наткнулись на IBM Technote. PM86382: Использование проверки подлинности RSA

«Когда используется аппаратное шифрование с административной аутентификацией, установленной на RSA (которая используется по умолчанию только в среде базового сервера приложений), административные задачи, такие как развертывание приложений и т. Д., Не выполняются».

Следуя техническому примечанию, мы переключили аутентификацию на LPTA, выпустили новые сертификаты и переделали конфигурацию профиля websphere. После перезапуска система единого входа теперь работает, и идентификатор пользователя правильно заполняется в переменной заголовка HTTP "Remote_User"