Um keytab é um arquivo que contém pares de chaves principais e criptografadas do Kerberos. Um arquivo keytab é criado para aplicações que exigem single sign-on. A ponte de identidade do Unified Access Gateway usa um arquivo keytab para que seja autenticado em sistemas remotos usando o Kerberos sem inserir uma senha.

Quando um usuário é autenticado no Unified Access Gateway a partir de um provedor de identidade, o Unified Access Gateway solicita um tíquete do Kerberos do controlador de domínio do Kerberos para autenticar o usuário.

O Unified Access Gateway usa um arquivo keytab para representar o usuário a autenticar o domínio do Active Directory. O Unified Access Gateway deve ter uma conta de serviço do usuário do domínio no domínio do Active Directory. O Unified Access Gateway não fica ligado diretamente ao domínio.

Observação:

Se o administrador regenerar o arquivo keytab para uma conta de serviços, o arquivo keytab deverá ser carregado novamente no Unified Access Gateway.

Você também pode gerar o arquivo keytab usando a linha de comando. Por exemplo:

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All

Consulte a documentação da Microsoft para obter informações detalhadas sobre o comando ktpass.

Pré-requisitos

Você deve ter acesso ao arquivo keytab do Kerberos para carregar para o Unified Access Gateway. O arquivo keytab é um arquivo binário. Se possível, use SCP ou outro método seguro para transferir o keytab entre os computadores.

Procedimento

  1. Na seção Configurar Manualmente da IU do administrador, clique em Selecionar.
  2. Na seção Configurações avançadas > Configurações de ponte de identidade, selecione o ícone de engrenagem Carregar configurações keytab.
  3. (Opcional) Insira o nome da entidade do Kerberos na caixa de texto Nome da entidade.

    Cada identidade sempre é totalmente qualificada com o nome do território. O território sempre deve estar em letras maiúsculas.

    Verifique se o nome da entidade inserido aqui é o primeiro nome da entidade encontrado no arquivo keytab. Se o mesmo nome da entidade não estiver no arquivo keytab que foi carregado, o carregamento do keytab falhará.

  4. Na caixa de texto Selecionar arquivo keytab, clique em Selecionar e navegue até o arquivo keytab salvo. Clique em Abrir.

    Se o nome da entidade não foi inserido, é usado o primeiro nome da entidade encontrado no keytab. É possível fundir diversos keytabs em um arquivo.

  5. Clique em Salvar.

O que Fazer Depois

Configure um proxy reverso da Web para a ponte de identidade do Unified Access Gateway