Hello,

 

 

 

In our company exists a forest-wide UPN suffix 

company.it

 and almost all user accounts have the explicit UPN set to 

fistname.lastname@company.it

. This value is also set in the Active Directory 

userPrincipalName

 attribute. 

  Now we have configured the fme server (FME Server version is FME Server 2013 SP4 - Build 13547 - win64) to perform IWA (SSO), so users authenticate through Kerberos.

 

Since we are given the Kerberos principal, i.e. implicit UPN (sAMAccountName@company.it), which does not match anymore with the 

userPrincipalName

 (explicit UPN), the IWA fails, as can be seen by the fmeserver.log.

 

 

 

Thanks in advance for your help.

 

 

 

 

 

fmeServer.log:

 

Tue-19-Nov-2013 09:00:47 AM   INFORM   RequestHandler-Thread   408041 : (Login Module)     Authenticating single sign-on token "YIIH/gYGKwYBBQUCoIIH8jCCB+6gMDAu...".

 

Tue-19-Nov-2013 09:00:47 AM   INFORM   RequestHandler-Thread   408057 : (Single Sign-On)   Negotiation complete; authentication granted for user "MSchgraffer@SIAG.IT".

 

Tue-19-Nov-2013 09:00:47 AM   INFORM   RequestHandler-Thread   408023 : (Active Directory) Performing search on server with filter "(&(&(objectCategory=person)(objectClass=user))(userPrincipalName=MSchgraffer@SIAG.IT))"...

 

Tue-19-Nov-2013 09:00:47 AM   INFORM   RequestHandler-Thread   408024 : (Active Directory) Search retrieved 0 entries.

 

Tue-19-Nov-2013 09:00:47 AM   WARN     RequestHandler-Thread   408059 : (Single Sign-On)   Failed authentication because user "MSchgraffer@SIAG.IT" could not be found in Active Directory.

 

Tue-19-Nov-2013 09:00:47 AM   WARN     RequestHandler-Thread   401934 : Failed login by user YIIH/gYGKwYBBQUCoIIH8jCCB+6gMDAu... due to insufficient credentials.