在網域控制器中,建立針對 [Access Manager 認證] 模組的使用者帳號。
將使用者帳號與服務提供者名稱產生關聯,並將 keytab 檔案匯出至安裝了 Access Manager 的系統。若要進行上述動作,請執行下列指令:
ktpass -princ host/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname.host.keytab ktpass -princ HTTP/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname .HTTP.keytab |
ktpass 指令接受下列參數:
hostname。執行 Access Manager 的主機名稱 (不含網域名稱)。
domainname。Access Manager 網域名稱。
DCDOMAIN。網域控制器的網域名稱。此名稱可能與 Access Manager 的網域名稱不同。
password。使用者帳號的密碼。請確定密碼正確,因為 ktpass 不會驗證密碼。
userName。使用者帳號 ID。它應該與 hostname 相同。
請確保兩個 keytab 檔案均已做好安全措施。
服務範本值應類似於以下範例:
服務主體: HTTP/machine1.EXAMPLE.COM@ISQA.EXAMPLE.COM
Keytab 檔案名稱:/tmp/machine1.HTTP.keytab
Kerberos 範圍: ISQA.EXAMPLE.COM
Kerberos 伺服器名稱:machine2.EXAMPLE.com
使用網域名稱傳回主體:false
認證層級: 22
重新啟動伺服器。