キータブは、Kerberos プリンシパルと暗号化キーのペアを含むファイルです。シングル サインオンが必要なアプリケーションのためにキータブ ファイルが作成されます。Unified Access Gateway ID ブリッジはキータブ ファイルを使用し、パスワードを入力せずに Kerberos を使用してリモート システムに対する認証を行います。
ユーザーが ID プロバイダから Unified Access Gateway に対して認証されると、Unified Access Gateway は Kerberos ドメイン コントローラから Kerberos チケットを要求してユーザーを認証します。
Unified Access Gateway はキータブ ファイルを使用してユーザーになりすまし、内部の Active Directory ドメインに対して認証します。 Unified Access Gateway は、Active Directory ドメイン上にドメイン ユーザー サービス アカウントを持っている必要があります。 Unified Access Gateway はドメインに直接参加しません。
注: 管理者がサービス アカウントのキータブ ファイルを再生成する場合は、キータブ ファイルを
Unified Access Gateway に再度アップロードする必要があります。
コマンドラインを使用してキータブ ファイルを生成することもできます。例:
ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All
ktpass コマンドの詳細については、「Microsoft documentation」を参照してください。
前提条件
Unified Access Gateway にアップロードするには、Kerberos キータブ ファイルにアクセスできる必要があります。キータブ ファイルはバイナリ ファイルです。可能であれば、SCP によるファイル転送または別の安全な方法を使用してコンピュータ間でキータブを転送します。