Wenn Kerberos in der Back-End-Anwendung konfiguriert ist, müssen Sie zum Einrichten von Identity Bridging in Unified Access Gateway die Identitätsanbieter-Metadaten und die Keytab-Datei hochladen und die KCD-Bereichseinstellungen konfigurieren.
Diese Version von Identity Bridging unterstützt die Einrichtung einzelner und mehrerer Domänen. Das bedeutet, dass sich der Benutzer und das SPN-Konto in verschiedenen Domänen befinden können.
Wenn Identity Bridging in Verbindung mit einer kopfzeilenbasierten Authentifizierung aktiviert ist, werden keine Keytab-Einstellungen und KCD-Bereichseinstellungen benötigt.
Stellen Sie vor dem Konfigurieren der Identity Bridging-Einstellungen für die Kerberos-Authentifizierung sicher, dass folgende Voraussetzungen erfüllt sind.
Ein Identitätsanbieter wurde konfiguriert und die SAML-Metadaten des Identitätsanbieters wurden gespeichert. Die SAML-Metadaten-Datei wird in Unified Access Gateway hochgeladen (nur in SAML-Szenarien).
Für die Kerberos-Authentifizierung muss ein Server vorhanden sein, auf dem Kerberos aktiviert ist und die Bereichsnamen für die zu verwendenden Key Distribution Centers angegeben sind.
Laden Sie für die Kerberos-Authentifizierung die Kerberos-Keytab-Datei in Unified Access Gateway hoch. Die Keytab-Datei enthält die Anmeldedaten für das Active Directory-Dienstkonto, das eingerichtet wurde, um das Kerberos-Ticket eines beliebigen Benutzers in der Domäne für einen gegebenen Back-End-Dienst zu erhalten.
Stellen Sie sicher, dass die folgenden Ports geöffnet sind:
Port 443 für eingehende HTTP-Anfragen
TCP-/UDP-Port 88 für die Kerberos-Kommunikation mit Active Directory
Unified Access Gateway verwendet TCP zur Kommunikation mit Back-End-Anwendungen. Der entsprechende Port, den das Back-End überwacht, z. B. TCP-Port 8080.
Das Konfigurieren von Identity Bridging für SAML-to-Kerberos und Cert-to-Kerberos für zwei unterschiedliche Reverse-Proxy-Instanzen auf derselben Unified Access Gateway -Instanz wird nicht unterstützt.
Web-Reverse-Proxy-Instanzen mit Zertifizierungsstelle und ohne zertifikatsbasierte Authentifizierung, für die kein Identity Bridging auf derselben Appliance aktiviert ist, werden nicht unterstützt.