Keytab 是一个包含 Kerberos 主体和加密密钥对的文件。Keytab 文件为要求单点登录的应用程序而创建。Unified Access Gateway 身份桥接使用 keytab 文件对应用 Kerberos 的远程系统进行身份验证,在这一过程中,您无需输入密码。

当用户经过身份验证从身份提供程序进入 Unified Access Gateway 时,Unified Access Gateway 从 Kerberos 域控制器请求 Kerberos 票证来对用户进行身份验证。

Unified Access Gateway 使用 Keytab 文件模拟用户对内部 Active Directory 域进行身份验证。Unified Access Gateway 必须在 Active Directory 域上具有域用户服务帐户。Unified Access Gateway 不会直接加入域。

注: 如果管理员为服务帐户重新生成 Keytab 文件,则必须将此 Keytab 文件再次上载到 Unified Access Gateway

前提条件

可以访问要上载到 Unified Access Gateway 的 Kerberos Keytab 文件。Keytab 文件是一个二进制文件。如有可能,请使用 SCP 或其他安全方法在不同计算机之间传输 Keytab。

过程

  1. 在管理 UI 的“手动配置”部分中,单击选择
  2. 高级设置 > 身份桥接设置部分中,选择上载 Keytab 设置齿轮图标。
  3. (可选)在主体名称文本框中输入 Kerberos 主体名称。

    每个主体始终采用领域名称进行完全限定。领域应当采用大写字母。

    请确保在此输入的主体名称是在 Keytab 文件中找到的第一个主体。如果相同的主体名称不在已上载的 Keytab 文件中,则上载 Keytab 文件会失败。

  4. 选择 Keytab 文件字段中,单击选择并浏览到您保存的 Keytab 文件。单击打开
    如果您没有输入主体名称,则使用在 Keytab 中找到的第一个主体。您可以将多个 Keytab 合并为一个文件。
  5. 单击保存

后续步骤

Unified Access Gateway 身份桥接配置 Web 反向代理。