在后端应用程序中配置了 Kerberos 后,如果要在 Unified Access Gateway 中设置身份桥接,需上载身份提供程序元数据和 Keytab 文件,并配置 KCD 领域设置。
此版本的身份桥接支持在不同的域中使用同一种域设置。这意味着,用户和 SPN 帐户可以位于不同的域中。
在通过基于标头的身份验证启用身份桥接时,不需要 Keytab 设置和 KCD 领域设置。
在为 Kerberos 身份验证配置身份桥接设置之前,请确保以下内容可用。
已配置身份提供程序并已保存身份提供程序的 SAML 元数据。SAML 元数据文件已上载至 Unified Access Gateway(仅适用于 SAML 方案)。
对于 Kerberos 身份验证,已识别通过待使用的密钥分发中心的领域名称启用了 Kerberos 的服务器。
对于 Kerberos 身份验证,请将 Kerberos Keytab 文件上载到 Unified Access Gateway。Keytab 文件包含 Active Directory 服务帐户的凭据,该帐户设置为代表域中给定后端服务的任何用户获取 Kerberos 票证。
确保打开了以下端口:
端口 443,用于传入 HTTP 请求
TCP/UDP 端口 88,用于与 Active Directory 之间的 Kerberos 通信
Unified Access Gateway 使用 TCP 与后端应用程序进行通信。后端侦听的相应端口,例如,TCP 端口 8080。
不支持在同一个 Unified Access Gateway 实例上为两个不同的反向代理实例配置 SAML 和证书到 Kerberos 的身份桥接。
不支持未在同一设备上启用身份桥接的 Web 反向代理实例,不论其是否经过了证书颁发机构的基于证书的身份验证。
