keytab은 Kerberos 주체 및 암호화 키 쌍을 포함하는 파일입니다. keytab 파일은 Single Sign-On을 요구하는 애플리케이션에 대해 생성됩니다. Unified Access Gateway ID 브리징은 keytab 파일을 사용하여 암호를 입력하지 않고도 Kerberos를 사용하여 원격 시스템에 대해 인증을 얻습니다.

사용자가 ID 제공자로부터 Unified Access Gateway에 대한 인증을 받으면 Unified Access Gateway는 사용자를 인증하기 위해 Kerberos 도메인 컨트롤러에서 Kerberos 티켓을 요청합니다.

Unified Access Gateway는 keytab 파일을 통해 사용자를 가장하여 내부 Active Directory 도메인에 대해 인증을 얻습니다. Unified Access Gateway는 Active Directory 도메인에 도메인 사용자 서비스 계정을 갖고 있어야 합니다. Unified Access Gateway는 도메인에 직접 가입되지 않습니다.
참고: 관리자가 서비스 계정을 위해 keytab 파일을 재생성하는 경우 keytab 파일은 Unified Access Gateway에 다시 업로드되어야 합니다.

또한 명령줄을 사용하여 keytab 파일을 생성할 수도 있습니다. 예:

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All

ktpass 명령에 대한 자세한 내용은 Microsoft 설명서를 참조하십시오.

사전 요구 사항

Unified Access Gateway에 업로드할 Kerberos keytab 파일에 액세스해야 합니다. keytab 파일은 이진 파일입니다. 가능한 경우 SCP 또는 다른 보안 방법을 사용하여 컴퓨터 간에 keytab을 전송합니다.

프로시저

  1. [관리 장치 구성 템플릿] 섹션에서 추가를 클릭합니다.
  2. [ID 브리징 설정] 섹션에서 구성을 클릭합니다.
  3. [Kerberos KeyTab 설정] 페이지에서 새 KeyTab 추가를 클릭합니다.
  4. 식별자에 대한 고유한 이름을 입력합니다.
  5. (선택 사항) 주체 이름 텍스트 상자에 Kerberos 주체 이름을 입력합니다.

    각 주체는 항상 영역 이름으로 정규화됩니다. 영역은 대문자여야 합니다.

    여기에 입력한 주체 이름은 keytab 파일에 처음 나오는 주체여야 합니다. 같은 주체 이름이 업로드된 keytab 파일에 없으면 keytab 업로드가 실패합니다.

  6. Keytab 파일 선택 텍스트 상자에서 선택을 클릭하고 저장한 keytab 파일로 이동합니다. 열기를 클릭합니다.
    주체 이름을 입력하지 않은 경우 keytab에 처음 나오는 주체가 사용됩니다. 여러 keytab을 하나의 파일에 병합할 수 있습니다.
  7. 저장을 클릭합니다.