Hallo,

ich möchte gerne mit einer anderen Software ein Single-Sign On machen. Dazu benötige ich ja Kerberos. Leider funktioniert es nicht so wie ich es möchte. Jetzt vermute ich, dass Kerberos nicht aktiv, allerdings soll doch Kerberos standardmäßig aktiv sein oder?? Muss man evtl. auch am Client etwas einstellen? Kann man überhaupt Kerberos in Win2003 aktivieren und deaktivieren?

Ich hoffe, dass ich mich einigermaßen verständlich ausgedrückt habe.

In dem RessourceKit vom 2000/2003 Server gibt es ein Tool namens "Kerbtry" --> Link

Dieses Tool auf dem CLient ausführen und du siehst zumindest, ob dieser ein Kerberos-Ticket erhält.

Im IE muss glaube ich auch "Integrierte Windows-Authentifizierung aktivieren" aktiviert sein.

Ebenso erlaubt Kerberos nur eine maximale zeitliche Abweichung von 5 Minuten - daher mal die Zeit vom Server und CLient abgleichen.

Ich denke Tickets werden erstellt.

Die Zeit müsste ich noch überprüfen, sagtest du. Wie mache ich das?

Sorry, habe nicht viel Ahnung von Windows 2003. Versuche es mir gerade ein wenig beizubringen.

Es kann natürlich auch sein, dass der Fehler nicht auf Windows Seite sich befindet, sondern bei der anderen Software.

Die Zeit müsste ich noch überprüfen, sagtest du. Wie mache ich das?

Naja, ich würde persönlich mal unten rechts auf die Zeit schauen

Was mir noch aufgefallen ist:

In dem Screenshot ist was von "mycompany.local" zu lesen. Das war doch sicherlich nur irgendwo ein Beispiel und muss doch durch deine wirkliche Domäne ersetzt werden.

Daher denke ich, dass hier noch ein Fehler bei der eigentlichen SSO-Konfiguration vorliegt.

Für welche Anwendung soll denn das sein? Vielleicht findet man ja noch eine gute Doku dazu...

Handelt sich um eine Firmeneigenes Produkt. MYDOMAIN.local ist schon richtig, handelt sich auch "nur" um ein Testsystem.

Die Uhrzeit habe ich verglichen, sie ist bis auf ein paar Sekunden identisch.

Habe jetzt im Logfile der Client Software gesehen, dass die keine Kerberos Pakete losschickt.