Problem

Bei einer On-Premises Installation funktioniert das Single Sign-On (via Active Directory Server bzw. Kerberos Protokoll) nicht.

Lösung

Die folgenden Analyse-Schritte helfen, das Problem einzugrenzen.

  1. Stellen Sie sicher, dass Tomcat mit dem "Local System Account" läuft. Falls Sie die Installation nach unseren Angaben durchgeführt haben, sollte dies der Fall sein:


  2. Prüfen Sie zunächst, ob der Zugriff vom Server selbst aus funktioniert. Dazu öffnen Sie einen Browser auf dem Server und gehen zur URL http://localhost (vorausgesetzt, die Applikation läuft unter Port 80).
    1. Im Erfolgsfall müsste das System Sie erkennen und entweder direkt einloggen, dann funktioniert das SSO auf dem lokalen Server. Falls Ihr Windows-User kein im Tool erfasster Benutzer ist, wird das System den folgenden Login error ausgeben, aber auch das ist ein Zeichen, dass das SSO funktioniert:



    2. Falls jedoch das SSO fehlschlägt, werden Sie das folgende (oder ein ähnliches) Loginfenster sehen. Fahren Sie dann bei Punkt 4 in der Analyse fort. 


    3. Wenn Sie überhaupt gar nichts sehen (z.B. IE "dreht" eine Weile und sagt dann "The Page can't be displayed), hat der Startup der Appikation nicht funktioniert. Prüfen Sie in diesem Fall die Log-Files wie in Wie kann ich Logfiles von der Applikation an den GoCompliant Support schicken? beschrieben.

  3. Nachdem Sie erfolgreich Punkt 2 durchführen konnten, versuchen Sie es als nächstes von einem anderen Rechner aus, am besten von einem typischen Arbeitsplatz-PC. Dazu öffnen Sie einen Browser auf dem PC und gehen zur URL http://<ihr-server-name> (vorausgesetzt, die Applikation läuft unter Port 80). Führen Sie dieselben Prüfungen durch wie in Punkt 2. Falls Sie auf 2c) stossen, besteht vermutlich ein Problem mit der Firewall. Geben Sie in diesem Fall den Port 80 auf dem Server frei.
  4. Wenn Sie auf das Problem 2b) gestossen sind, besteht ein Problem mit dem SSO. Gehen Sie folgendermassen vor:
    1. Browser-seitige Analyse
      1. Prüfen Sie, ob die Applikation als lokales Intranet erkannt wird (IE: Internet Options → Security):
         

      2. Prüfen Sie, dass im Browser die integrierte Windows-Authentifizierung aktiviert ist (IE: Internet Options → Advanced → Security):


      3. Prüfen Sie, ob der Browser einen korrekten Pre-Authentication Handshake mit dem Server ausführt. Öffnen Sie hierzu die Browser Developer Tools (IE: F12), gehen Sie in den Tab "Network", und rufen Sie die Seite auf. Dadurch erhalten Sie einige Einträge, die Sie im HAR Format speichern (IE: Diskettensymbol) und uns übermitteln können.
    2. Server-seitige Analyse
      1. Öffnen Sie folgendes File mit einem Texteditor: <Tomcat-Folder>\webapps\ROOT\WEB-INF\classes\log4j.xml.
        Suchen Sie den Eintrag <Logger name="waffle" level="info"/>.
        Ändern Sie "info" auf "trace".
        Starten Sie Tomcat neu.
        Führen Sie den Zugriff erneut aus, und schicken Sie uns dann die Log-Files wie in ??? beschrieben.

Verwandte Seiten