在域控制器中,为 Access Manager 验证模块创建用户帐户。
在用户帐户与服务提供者名称间建立关联,并将键表文件导出至装有 Access Manager 的系统。为此,请运行以下命令:
ktpass -princ host/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname.host.keytab ktpass -princ HTTP/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname .HTTP.keytab |
ktpass 命令接受以下参数:
hostname。运行 Access Manager 的主机名(不含域名)。
domainname。Access Manager 的域名。
DCDOMAIN。域控制器的域名。它可能与 Access Manager 域名不同。
password。用户帐户的密码。请确保密码正确,因为 ktpass 不校验密码。
userName。用户帐户 ID。它应与主机名相同。
确保两个键表文件都已安全保管。
服务模板的值应与以下示例类似:
服务负责人: HTTP/machine1.EXAMPLE.COM@ISQA.EXAMPLE.COM
Keytab 文件名:/tmp/machine1.HTTP.keytab
Kerberos 领域: ISQA.EXAMPLE.COM
Kerberos 服务器名:machine2.EXAMPLE.com
返回带有域名的负责人:false
验证级别: 22
重新启动服务器。