Un fichier keytab est un fichier contenant des paires de principaux et de clés chiffrées Kerberos. Un fichier keytab est créé pour les applications qui requièrent l'authentification unique. Le pontage d'identité d'Unified Access Gateway utilise un fichier keytab pour s'authentifier sur des systèmes distants à l'aide de Kerberos sans entrer de mot de passe.
Lorsqu'un utilisateur est authentifié sur Unified Access Gateway à partir du fournisseur d'identité, Unified Access Gateway demande un ticket Kerberos au contrôleur de domaine Kerberos pour authentifier l'utilisateur.
Unified Access Gateway utilise le fichier keytab pour emprunter l'identité de l'utilisateur à authentifier au domaine Active Directory interne. Unified Access Gateway doit posséder un compte de service d'utilisateur de domaine sur le domaine Active Directory. Unified Access Gateway n'est pas directement joint au domaine.
Si l'administrateur génère de nouveau le fichier keytab pour un compte de service, le fichier keytab doit être téléchargé de nouveau sur Unified Access Gateway.
Vous pouvez également générer le fichier keytab à l'aide de la ligne de commande. Par exemple :
ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All
Consultez la documentation de Microsoft pour obtenir des informations détaillées sur la commande ktpass.
Conditions préalables
Vous devez avoir l'accès au fichier keytab Kerberos pour le télécharger sur Unified Access Gateway. Le fichier keytab est un fichier binaire. Si possible, utilisez SCP ou une autre méthode sécurisée pour transférer le fichier keytab entre des ordinateurs.
Procédure
Que faire ensuite
Configurez le proxy inverse Web pour le pontage d'identité d'Unified Access Gateway.