Eine Keytab-Datei ist eine Datei, die Paare aus Kerberos-Prinzipalen und verschlüsselten Schlüsseln enthält. Eine Keytab-Datei wird für Anwendungen erstellt, die eine Anmeldung per Single Sign-on erfordern. Unified Access Gateway Identity Bridging nutzt eine Keytab-Datei zur Authentifizierung bei Remote-Systemen, die Kerberos verwenden, ohne dass ein Kennwort eingegeben werden muss.

Wenn ein Benutzer über den Identitätsanbieter bei Unified Access Gateway authentifiziert wird, fordert Unified Access Gateway ein Kerberos-Ticket beim Kerberos Domain Controller an, um den Benutzer zu authentifizieren.

Zur Authentifizierung bei der internen Active Directory-Domäne nimmt Unified Access Gateway mithilfe der Keytab-Datei die Identität des Benutzers an. Unified Access Gateway benötigt ein Dienstkonto eines Domänenbenutzers in der Active Directory-Domäne. Unified Access Gateway ist nicht direkt mit der Domäne verknüpft.
Hinweis: Wenn der Administrator die Keytab-Datei für ein Dienstkonto neu generiert, muss die Keytab-Datei in Unified Access Gateway nochmals hochgeladen werden.

Sie können die Keytab-Datei auch mithilfe der Befehlszeile generieren. Beispiel:

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All

Weitere Informationen zum ktpass-Befehl finden Sie in der Microsoft-Dokumentation.

Voraussetzungen

Sie benötigen Zugriff auf die Kerberos-Keytab-Datei zum Hochladen auf Unified Access Gateway. Bei einer Keytab-Datei handelt es sich um eine binäre Datei. Wenn möglich, verwenden Sie SCP oder eine andere sichere Methode, um die Keytab-Datei zwischen Computern zu übertragen.

Prozedur

  1. Klicken Sie im Abschnitt „Konfigurationsvorlagen für die Verwaltungs-Appliance“ auf Hinzufügen.
  2. Klicken Sie im Abschnitt „Einstellungen für Identity Bridging“ auf Konfigurieren.
  3. Klicken Sie auf der Seite „Kerberos-KeyTab-Einstellungen“ auf Neue KeyTab hinzufügen.
  4. Geben Sie einen eindeutigen Namen als Bezeichner ein.
  5. (Optional) Geben Sie den Kerberos-Prinzipalnamen im Textfeld Name des Prinzipals ein.

    Jeder Prinzipal ist stets durch den Namen des Bereichs vollständig qualifiziert. Der Bereich muss in Großbuchstaben eingegeben werden.

    Stellen Sie sicher, dass der hier eingegebene Prinzipalname der erste in der Keytab-Datei gefundene Prinzipalname ist. Wenn sich dieser Prinzipalname nicht in der Keytab-Datei befindet, die hochgeladen wird, schlägt das Hochladen der Keytab-Datei fehl.

  6. Klicken Sie im Textfeld Keytab-Datei auswählen auf Auswählen und suchen Sie die Keytab-Datei, die Sie gespeichert haben. Klicken Sie auf Öffnen.
    Wenn Sie den Namen des Prinzipals nicht eingegeben haben, wird der erste in der Keytab-Datei gefundene Prinzipal verwendet. Sie können mehrere Keytab-Dateien in einer Datei zusammenführen.
  7. Klicken Sie auf Speichern.