Un fichier keytab est un fichier contenant des paires de principaux et de clés chiffrées Kerberos. Un fichier keytab est créé pour les applications qui requièrent l'authentification unique. Le pontage d'identité d'Unified Access Gateway utilise un fichier keytab pour s'authentifier sur des systèmes distants à l'aide de Kerberos sans entrer de mot de passe.

Lorsqu'un utilisateur est authentifié sur Unified Access Gateway à partir du fournisseur d'identité, Unified Access Gateway demande un ticket Kerberos au contrôleur de domaine Kerberos pour authentifier l'utilisateur.

Unified Access Gateway utilise le fichier keytab pour emprunter l'identité de l'utilisateur à authentifier au domaine Active Directory interne. Unified Access Gateway doit posséder un compte de service d'utilisateur de domaine sur le domaine Active Directory. Unified Access Gateway n'est pas directement joint au domaine.
Note : Si l'administrateur génère de nouveau le fichier keytab pour un compte de service, le fichier keytab doit être téléchargé de nouveau sur Unified Access Gateway.

Vous pouvez également générer le fichier keytab à l'aide de la ligne de commande. Par exemple :

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All

Consultez la documentation de Microsoft pour obtenir des informations détaillées sur la commande ktpass.

Conditions préalables

Vous devez avoir accès au fichier keytab Kerberos pour le télécharger sur Unified Access Gateway. Le fichier keytab est un fichier binaire. Si possible, utilisez SCP ou une autre méthode sécurisée pour transférer le fichier keytab entre des ordinateurs.

Procédure

  1. Dans la section Modèles de configuration du dispositif de gestion, cliquez sur Ajouter.
  2. Dans la section Pramètres de pontage d'identité, cliquez sur Configurer.
  3. Sur la page Paramètres du fichier KeyTab Kerberos, cliquez sur Ajouter Nouveau fichier KeyTab.
  4. Entrez un nom unique comme identifiant.
  5. (Facultatif) Entrez le nom du principal Kerberos dans la zone de texte Nom du principal.

    Chaque principal est toujours complété du nom du domaine. Le domaine doit être en majuscules.

    Assurez-vous que le nom du principal entré ici est le premier principal trouvé dans le fichier keytab. Si le même nom du principal ne se trouve pas dans le fichier keytab téléchargé, le téléchargement de keytab échoue.

  6. Dans la zone de texte Sélectionner un fichier Keytab, cliquez sur Sélectionner et accédez au fichier keytab que vous avez enregistré. Cliquez sur Ouvrir.
    Si vous n'avez pas entré le nom du principal, le premier principal trouvé dans le fichier keytab est utilisé. Vous pouvez fusionner plusieurs fichiers keytab en un seul.
  7. Cliquez sur Enregistrer.