Um keytab é um arquivo que contém pares de chaves principais e criptografadas do Kerberos. Um arquivo keytab é criado para aplicações que exigem single sign-on. A ponte de identidade do Unified Access Gateway usa um arquivo keytab para que seja autenticado em sistemas remotos usando o Kerberos sem inserir uma senha.

Quando um usuário é autenticado no Unified Access Gateway a partir de um provedor de identidade, o Unified Access Gateway solicita um tíquete do Kerberos do controlador de domínio do Kerberos para autenticar o usuário.

O Unified Access Gateway usa um arquivo keytab para representar o usuário a autenticar o domínio do Active Directory. O Unified Access Gateway deve ter uma conta de serviço do usuário do domínio no domínio do Active Directory. O Unified Access Gateway não fica ligado diretamente ao domínio.
Observação: Se o administrador regenerar o arquivo keytab para uma conta de serviços, o arquivo keytab deverá ser carregado novamente no Unified Access Gateway.

Você também pode gerar o arquivo keytab usando a linha de comando. Por exemplo:

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All

Consulte a documentação da Microsoft para obter informações detalhadas sobre o comando ktpass.

Pré-requisitos

Você deve ter acesso ao arquivo keytab do Kerberos para carregar para o Unified Access Gateway. O arquivo keytab é um arquivo binário. Se possível, use SCP ou outro método seguro para transferir o keytab entre os computadores.

Procedimento

  1. Na seção Modelos de Configuração do Dispositivo de Gerenciamento, clique em Adicionar.
  2. Na seção Configurações de Ponte de Identidade, clique em Configurar.
  3. Na página Configurações do KeyTab Kerberos, clique em Adicionar Novo KeyTab.
  4. Insira um nome exclusivo como o identificador.
  5. (Opcional) Insira o nome da entidade do Kerberos na caixa de texto Nome da entidade.

    Cada identidade sempre é totalmente qualificada com o nome do território. O território sempre deve estar em letras maiúsculas.

    Verifique se o nome da entidade inserido aqui é o primeiro nome da entidade encontrado no arquivo keytab. Se o mesmo nome da entidade não estiver no arquivo keytab que foi carregado, o carregamento do keytab falhará.

  6. Na caixa de texto Selecionar arquivo keytab, clique em Selecionar e navegue até o arquivo keytab salvo. Clique em Abrir.
    Se o nome da entidade não foi inserido, é usado o primeiro nome da entidade encontrado no keytab. É possível fundir diversos keytabs em um arquivo.
  7. Clique em Salvar.