Un keytab es un archivo que contiene pares de claves cifradas y principales de Kerberos. Un archivo keytab se crea para aplicaciones que requieren Single Sign-On. El puente de identidades de Unified Access Gateway usa un archivo keytab para autenticarse en sistemas remotos utilizando Kerberos sin introducir ninguna contraseña.
Cuando un usuario se autentica en Unified Access Gateway desde el proveedor de identidades, Unified Access Gateway solicita un ticket de Kerberos del controlador de dominio Kerberos para autenticar al usuario.
Unified Access Gateway usa el archivo keytab de forma que suplanta al usuario para autenticarse en el dominio Active Directory interno. Unified Access Gateway debe tener una cuenta del servicio de usuario de dominio en el dominio de Active Directory. Unified Access Gateway no se conecta directamente al dominio.
Si el administrador vuelve a generar el archivo keytab para una cuenta del servicio, este archivo se debe volver a actualizar en Unified Access Gateway.
También puede generar el archivo keytab mediante la línea de comandos. Por ejemplo:
ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All
Consulte la documentación de Microsoft para obtener información detallada sobre el comando ktpass.
Requisitos previos
Debe tener acceso al archivo keytab de Kerberos para actualizar a Unified Access Gateway. El archivo keytab es un archivo binario. Si es posible, use SCP u otro método seguro para transferir el archivo keytab de un equipo a otro.
Procedimiento
Qué hacer a continuación
Configure el proxy inverso de web para el puente de identidades de Unified Access Gateway.