Wenn Kerberos in der Back-End-Anwendung konfiguriert ist, müssen Sie zum Einrichten von Identity Bridging in Unified Access Gateway die Identitätsanbieter-Metadaten und die Keytab-Datei hochladen und die KCD-Bereichseinstellungen konfigurieren.

Hinweis: Diese Version von Identity Bridging unterstützt die Einrichtung einzelner und mehrerer Domänen. Das bedeutet, dass sich der Benutzer und das SPN-Konto in verschiedenen Domänen befinden können.

Wenn Identity Bridging in Verbindung mit einer kopfzeilenbasierten Authentifizierung aktiviert ist, werden keine Keytab-Einstellungen und KCD-Bereichseinstellungen benötigt.

Stellen Sie vor dem Konfigurieren der Identity Bridging-Einstellungen für die Kerberos-Authentifizierung sicher, dass folgende Voraussetzungen erfüllt sind.

  • Ein Identitätsanbieter wurde konfiguriert und die SAML-Metadaten des Identitätsanbieters wurden gespeichert. Die SAML-Metadaten-Datei wird in Unified Access Gateway hochgeladen (nur in SAML-Szenarien).
  • Für die Kerberos-Authentifizierung muss ein Server vorhanden sein, auf dem Kerberos aktiviert ist und die Bereichsnamen für die zu verwendenden Key Distribution Centers angegeben sind.
  • Laden Sie für die Kerberos-Authentifizierung die Kerberos-Keytab-Datei in Unified Access Gateway hoch. Die Keytab-Datei enthält die Anmeldedaten für das Active Directory-Dienstkonto, das eingerichtet wurde, um das Kerberos-Ticket eines beliebigen Benutzers in der Domäne für einen gegebenen Back-End-Dienst zu erhalten.
  • Stellen Sie sicher, dass die folgenden Ports geöffnet sind:
    • Port 443 für eingehende HTTP-Anfragen
    • TCP-/UDP-Port 88 für die Kerberos-Kommunikation mit Active Directory
    • Unified Access Gateway verwendet TCP zur Kommunikation mit Back-End-Anwendungen. Der entsprechende Port, den das Back-End überwacht, z. B. TCP-Port 8080.
Hinweis:
  • Das Konfigurieren von Identity Bridging für SAML-to-Kerberos und Cert-to-Kerberos für zwei unterschiedliche Reverse-Proxy-Instanzen auf derselben Unified Access Gateway -Instanz wird nicht unterstützt.
  • Web-Reverse-Proxy-Instanzen mit Zertifizierungsstelle und ohne zertifikatsbasierte Authentifizierung, für die kein Identity Bridging auf derselben Appliance aktiviert ist, werden nicht unterstützt.