在后端应用程序中配置了 Kerberos 后,如果要在 Unified Access Gateway 中设置身份桥接,需上载身份提供程序元数据和 Keytab 文件,并配置 KCD 领域设置。
注: 此版本的身份桥接支持在不同的域中使用同一种域设置。这意味着,用户和 SPN 帐户可以位于不同的域中。
在通过基于标头的身份验证启用身份桥接时,不需要 Keytab 设置和 KCD 领域设置。
在为 Kerberos 身份验证配置身份桥接设置之前,请确保以下内容可用。
- 已配置身份提供程序并已保存身份提供程序的 SAML 元数据。SAML 元数据文件已上载至 Unified Access Gateway(仅适用于 SAML 方案)。
- 对于 Kerberos 身份验证,已识别通过待使用的密钥分发中心的领域名称启用了 Kerberos 的服务器。
- 对于 Kerberos 身份验证,请将 Kerberos Keytab 文件上载到 Unified Access Gateway。Keytab 文件包含 Active Directory 服务帐户的凭据,该帐户设置为代表域中给定后端服务的任何用户获取 Kerberos 票证。
- 确保打开了以下端口:
- 端口 443,用于传入 HTTP 请求
- TCP/UDP 端口 88,用于与 Active Directory 之间的 Kerberos 通信
- Unified Access Gateway 使用 TCP 与后端应用程序进行通信。后端侦听的相应端口,例如,TCP 端口 8080。
注:
- 不支持在同一个 Unified Access Gateway 实例上为两个不同的反向代理实例配置 SAML 和证书到 Kerberos 的身份桥接。
- 不支持未在同一设备上启用身份桥接的 Web 反向代理实例,不论其是否经过了证书颁发机构的基于证书的身份验证。