首先恭喜你已经通过sqlplus实现了Windows认证访问Oracle，这说明你的Kerberos基础配置（SPN注册、krb5.conf/sqlnet.ora设置）是没问题的，接下来只需要调整ODBC连接管理器的配置就能让SSIS用上Kerberos认证了，具体步骤如下：

一、重新配置系统ODBC数据源 #

你之前用的是用户名密码认证的系统DSN，需要修改它来支持Windows集成认证：

1. 打开对应位数的ODBC数据源管理器：
   • 如果SSIS包是用64位运行（SQL Server Agent默认是64位），就打开ODBC数据源管理器(64位)；如果调试时用32位DTExec，就打开32位版本（路径一般是C:\Windows\SysWOW64\odbcad32.exe）。
2. 找到你之前配置的Oracle系统DSN，点击「配置」按钮。
3. 在Oracle ODBC Driver的配置窗口中：
   • 清空「用户名」和「密码」输入框，不要填写任何内容。
   • 找到认证方式选项（通常在「连接」标签页下），选择Windows NT Integrated Authentication或「Kerberos认证」（不同驱动版本的标签文字可能略有差异，找带“Windows”或“Kerberos”的选项即可）。
   • 确认「TNS服务名」或「数据源名称」和之前一致，然后点击「测试连接」——这时候会用当前登录的Windows用户的Kerberos票据来验证，测试通过后保存配置。

二、调整SSIS中的ODBC连接管理器 #

1. 打开你的SSIS解决方案，找到目标ODBC连接管理器，右键选择「编辑」。
2. 在连接管理器配置界面：
   • 选择你刚修改好的系统DSN。
   • 确保「用户名」和「密码」字段是空的，不要勾选“保存密码”（因为要依赖Windows集成认证）。
   • 点击「测试连接」，确认能成功连接Oracle。

三、关键注意事项（避免踩坑） #

• 驱动版本匹配：一定要使用和Oracle 12.2服务器版本兼容的ODBC驱动，建议直接用Oracle 12.2客户端自带的ODBC驱动，避免第三方驱动的兼容性问题。
• SQL Server Agent运行账户权限：如果你的SSIS包是通过SQL Server Agent调度运行，Agent的服务账户需要：
  1. 能获取到访问Oracle服务的Kerberos票据（可以用klist命令在Agent运行的机器上检查票据）；
  2. 在Oracle数据库中拥有对应的访问权限（和你用sqlplus测试的用户权限一致）。
• 环境变量检查：确保SSIS运行的环境中，TNS_ADMIN环境变量指向正确的Oracle客户端network\admin目录（里面包含正确的sqlnet.ora和tnsnames.ora），这样ODBC驱动才能读取到Kerberos的配置。
• 票据有效期：Kerberos票据是有有效期的，如果是长时间运行的SSIS包，可能需要确认票据是否会在运行期间过期，必要时配置票据续期。

内容的提问来源于stack exchange，提问作者Petr