非常类似的问题发布在这里,我不相信他们是一样的。
IBM WebSphere Application Server SSO错误地设置了REMOTE_USER
我们正在WebSphere Application Server BASE V8.5.5.2上运行IBM Cognos Business Intelligence Server 10.2.2(无其他额外的软件产品),这两个软件都位于AIX服务器版本7上。我们正在尝试通过来自WebSphere的基本HTTP身份validation来configurationRSA SSO到Cognos。 对于身份validation,我们使用WebSphere和Cognos的自定义身份validation提供程序。
我们使用两个WASconfiguration文件,一个用于运行Cognos Servlet Gateway(用于匹配/ ServletGateway / *的模式),另一个用于运行Content Manager和Reporting Services(用于匹配/ p2pd / servlet / dispatch的模式)。
编辑和部署Cognos CJAP jar(自定义javaauthentication提供程序)并对… / war / gateway / web.xml和… / war / gateway / application.xml.template进行更改后,构build新的应用程序EAR和部署他们,login工作就好了…我挑战用户名和密码,input正确的凭据将用户login到Cognos门户。 如预期的那样查看http头时,Remote_User为空。
当我们尝试启用SSO时,事情就会出错。 在WebSphere中,我们启用全局安全性,设置两个configuration文件之间的证书等等。这样做之后,Remote_User不会被填充。
在websphere控制台中查看SSL证书时,我们注意到各种证书的指纹是不一样的。 当在WASconfiguration文件的控制台中查看相同的证书时,指纹不匹配。
所以看起来全球安全性在两个WASconfiguration文件之间不起作用。 经过很多研究,我们遇到了这个IBM Technote。 PM86382:使用RSA身份validation
“当pipe理身份validation设置为RSA(仅限基本应用程序服务器环境中的默认设置)使用硬件encryption时,pipe理任务(如应用程序部署等)失败。
通过遵循技术规范,我们将身份validation切换到LPTA,颁发新证书并重新configurationwebsphereconfiguration文件。 重新启动后,SSO正在工作,并且用户标识正确填充到HTTP标头variables“Remote_User”
我是你链接的问题的作者,我还没有被允许发表评论,所以我必须发表这个答案。 如果我们使用单个configuration文件,您认为证书重新加载解决scheme可以工作吗? 我们使用一个简单的configuration文件,因为我们有WebSphere版本的ND版本,我们只使用两个不同的应用服务器来保持调度程序和网关应用程序的分离。