Cuando Kerberos esté configurado en la aplicación de back-end, para establecer el puente de identidades en Unified Access Gateway, cargue los metadatos del proveedor de identidad y el archivo keytab para establecer la configuración de dominio kerberos de KCD.
Nota: Esta versión del puente de identidades admite varios dominios con una configuración de dominio único. Esto significa que el usuario y la cuenta de SPN pueden estar en dominios diferentes.
Cuando el puente de identidades esté habilitado con la autenticación basada en encabezados, no se necesita ni la configuración de dominio kerberos de KCD ni la configuración de keytab.
Antes de configurar las opciones del puente de identidades para la autenticación de Kerberos, compruebe que cuenta con los siguientes requisitos:
- Un proveedor de identidades está configurado y los metadatos SAML del proveedor de identidades están guardados. Se cargará el archivo de metadatos SAML en Unified Access Gateway (solo en escenarios de SAML).
- Para la autenticación Kerberos, se requiere tener identificado un servidor con Kerberos habilitado con los nombres de dominio kerberos para su utilización en los centros de distribución de claves.
- Para la autenticación Kerberos, cargue el archivo de keytab de Kerberos en Unified Access Gateway. El archivo de keytab incluye las credenciales de la cuenta del servicio de Active Directory que está configurada para obtener el ticket de Kerberos en nombre de cualquier usuario del dominio para un servicio back-end determinado.
- Asegúrese de que los siguientes puertos estén abiertos:
- Puerto 443 para las solicitudes HTTP entrantes
- Puerto TCP/UDP 88 para la comunicación de Kerberos con Active Directory
- Unified Access Gateway utiliza TCP para comunicarse con las aplicaciones de back-end. El puerto adecuado en el que está realizando la escucha el back-end; por ejemplo, el puerto TCP 8080.
Nota:
- No se admite la configuración de puentes de identidades tanto para SAML a Kerberos como para certificado a Kerberos para dos instancias del proxy inverso diferentes en la misma instancia de Unified Access Gateway.
- No se admiten instancias de proxy inverso de web con entidad de certificación y sin autenticación basada en certificado que no tengan puente de identidades habilitado en el mismo dispositivo.