Keytab 是一個檔案,其中包含 Kerberos 主體和加密金鑰的配對。系統會針對需要單一登入的應用程式建立一個 Keytab 檔案。Unified Access Gateway 身分識別橋接會使用 Keytab 檔案來使用 Kerberos 向遠端系統進行驗證,而無需輸入密碼。

當使用者從身分識別提供者經過驗證進入 Unified Access Gateway 時,Unified Access Gateway 會從 Kerberos 網域控制站要求 Kerberos 票證以驗證使用者。

Unified Access Gateway 會使用 Keytab 檔案來模擬使用者,以向內部 Active Directory 網域進行驗證。Unified Access Gateway 必須在 Active Directory 網域上具有網域使用者服務帳戶。Unified Access Gateway 不會直接加入網域。

備註: 如果管理員為某個服務帳戶重新產生 Keytab 檔案,則必須再次將 Keytab 檔案上傳至 Unified Access Gateway

您也可以使用命令列來產生 Keytab 檔案。例如:

ktpass /princ HOST/[email protected] /ptype KRB5_NT_PRINCIPAL /pass * /out C:\Temp\kerberos.keytab /mapuser uagkerberos /crypto All

如需 ktpass 命令的詳細資訊,請參閱 Microsoft 說明文件

必要條件

您必須可存取 Kerberos Keytab 檔案,才能上傳至 Unified Access Gateway。Keytab 檔案為二進位檔案。若可能,請使用 SCP 或其他安全方法在電腦之間傳輸 Keytab。

程序

  1. 在管理員 UI 的 [手動設定] 區段中,按一下選取
  2. 進階設定 > 身分識別橋接設定區段中,選取上傳 Keytab 設定齒輪圖示。
  3. (選用) 在主體名稱文字方塊中輸入 Kerberos 主體名稱。

    每個主體一律使用完整領域名稱。領域應該使用大寫字母。

    確保此處輸入的主體名稱為在 Keytab 檔案中找到的第一個主體。如果相同的主體名稱未在上傳的 Keytab 檔案中,則 Keytab 上傳會失敗。

  4. 選取 Keytab 檔案文字方塊中,按一下選取,並瀏覽至您儲存的 Keytab 檔案。按一下開啟
    如果您未輸入主體名稱,則會使用在 Keytab 中找到的第一個主體。您可以將多個 Keytab 合併成一個檔案。
  5. 按一下儲存

後續步驟

Unified Access Gateway 身分識別橋接設定 Web Reverse Proxy。