Keytab 是一個檔案,其中包含 Kerberos 主體和加密金鑰的配對。系統會針對需要單一登入的應用程式建立一個 Keytab 檔案。Unified Access Gateway 身分識別橋接會使用 Keytab 檔案來使用 Kerberos 向遠端系統進行驗證,而無需輸入密碼。
當使用者從身分識別提供者經過驗證進入 Unified Access Gateway 時,Unified Access Gateway 會從 Kerberos 網域控制站要求 Kerberos 票證以驗證使用者。
Unified Access Gateway 會使用 Keytab 檔案來模擬使用者,以向內部 Active Directory 網域進行驗證。Unified Access Gateway 必須在 Active Directory 網域上具有網域使用者服務帳戶。Unified Access Gateway 不會直接加入網域。
備註: 如果管理員為某個服務帳戶重新產生 Keytab 檔案,則必須再次將 Keytab 檔案上傳至
Unified Access Gateway。
您也可以使用命令列來產生 Keytab 檔案。例如:
ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All
如需 ktpass 命令的詳細資訊,請參閱 Microsoft 說明文件。
必要條件
您必須可存取 Kerberos Keytab 檔案,才能上傳至 Unified Access Gateway。Keytab 檔案為二進位檔案。若可能,請使用 SCP 或其他安全方法在電腦之間傳輸 Keytab。
程序
後續步驟
為 Unified Access Gateway 身分識別橋接設定 Web Reverse Proxy。