Un keytab es un archivo que contiene pares de claves cifradas y principales de Kerberos. Un archivo keytab se crea para aplicaciones que requieren Single Sign-On. El puente de identidades de Unified Access Gateway usa un archivo keytab para autenticarse en sistemas remotos utilizando Kerberos sin introducir ninguna contraseña.

Cuando un usuario se autentica en Unified Access Gateway desde el proveedor de identidades, Unified Access Gateway solicita un ticket de Kerberos del controlador de dominio Kerberos para autenticar al usuario.

Unified Access Gateway usa el archivo keytab de forma que suplanta al usuario para autenticarse en el dominio Active Directory interno. Unified Access Gateway debe tener una cuenta del servicio de usuario de dominio en el dominio de Active Directory. Unified Access Gateway no se conecta directamente al dominio.
Nota: Si el administrador vuelve a generar el archivo keytab para una cuenta del servicio, este archivo se debe volver a actualizar en Unified Access Gateway.

También puede generar el archivo keytab mediante la línea de comandos. Por ejemplo:

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All

Consulte la documentación de Microsoft para obtener información detallada sobre el comando ktpass.

Requisitos previos

Debe tener acceso al archivo keytab de Kerberos para actualizar a Unified Access Gateway. El archivo keytab es un archivo binario. Si es posible, use SCP u otro método seguro para transferir el archivo keytab de un equipo a otro.

Procedimiento

  1. En la sección Plantillas de configuración del dispositivo de administración, haga clic en Agregar.
  2. En la sección Configuración de puente de identidades, haga clic en Configurar.
  3. En la página Configuración de keytab de Kerberos, haga clic en Agregar nuevo archivo keytab.
  4. Escriba un nombre único como identificador.
  5. (Opcional) Introduzca el nombre principal Kerberos en el cuadro de texto Nombre principal.

    Cada nombre principal siempre está plenamente calificado con el nombre del dominio Kerberos. El dominio kerberos debe aparecer en mayúsculas.

    Asegúrese de que el nombre principal introducido sea el primer principal que aparece en el archivo keytab. Si el mismo nombre principal no está en el archivo keytab que se cargó, se producirá un error al cargar el archivo keytab.

  6. En el cuadro de texto Seleccionar archivo keytab, haga clic en Seleccionar y desplácese hasta el archivo keytab que guardó. Haga clic en Abrir.
    Si no introdujo el nombre principal, se usa el primer principal que aparece en el keytab. Puede fusionar varios keytabs en un único archivo.
  7. Haga clic en Guardar.