Keytab 是一个包含 Kerberos 主体和加密密钥对的文件。Keytab 文件为要求单点登录的应用程序而创建。Unified Access Gateway 身份桥接使用 keytab 文件对应用 Kerberos 的远程系统进行身份验证,在这一过程中,您无需输入密码。

当用户经过身份验证从身份提供程序进入 Unified Access Gateway 时,Unified Access Gateway 从 Kerberos 域控制器请求 Kerberos 票证来对用户进行身份验证。

Unified Access Gateway 使用 Keytab 文件模拟用户对内部 Active Directory 域进行身份验证。Unified Access Gateway 必须在 Active Directory 域上具有域用户服务帐户。Unified Access Gateway 不会直接加入域。

注: 如果管理员为服务帐户重新生成 Keytab 文件,则必须将此 Keytab 文件再次上载到 Unified Access Gateway

您还可以使用命令行生成 Keytab 文件。例如:

ktpass /princ HOST/uagkerberos@KKI.ORG /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All

请参阅 Microsoft 文档,了解有关 ktpass 命令的详细信息。

前提条件

您必须具有 Kerberos Keytab 文件的访问权限才能将其上载到 Unified Access Gateway。Keytab 文件是一个二进制文件。如有可能,请使用 SCP 或其他安全方法在不同计算机之间传输 Keytab。

过程

  1. 在管理 UI 的“手动配置”部分中,单击选择
  2. 高级设置 > 身份桥接设置部分中,选择上载 Keytab 设置齿轮图标。
  3. (可选)在主体名称文本框中输入 Kerberos 主体名称。

    每个主体始终采用领域名称进行完全限定。领域应当采用大写字母。

    请确保此处输入的主体名称是在 Keytab 文件中找到的第一个主体的名称。如果上载的 Keytab 文件中没有此名称,Keytab 上载将失败。

  4. 选择 Keytab 文件文本框中,单击选择,然后浏览到您已保存的 Keytab 文件。单击打开
    如果您没有输入主体名称,则使用在 Keytab 中找到的第一个主体。您可以将多个 Keytab 合并为一个文件。
  5. 单击保存

后续步骤

Unified Access Gateway 身份桥接配置 Web 反向代理。