在網域控制器中,為 Access Manager 認證模組建立使用者帳號。
將使用者帳號與服務提供者名稱產生關聯,並將 keytab 檔案匯出至安裝 Access Manager 的系統。若要進行上述動作,請執行下列指令:
ktpass -princ host/hostname.domainname@DCDOMAIN -pass password -mapuser userName -out hostname.host.keytab ktpass -princ HTTP/hostname.domainname@DCDOMAIN -pass password -mapuser userName -out hostname.HTTP.keytab |
ktpass 公用程式不作為 Windows 2000 伺服器的一部分安裝。您必須從安裝光碟將它安裝到 c:\program files\support 工具目錄。
ktpass 指令接受下列參數:
hostname。執行 Access Manager 的主機名稱 (不含網域名稱)。
domainname。Access Manager 網域名稱。
DCDOMAIN。網域控制器的網域名稱。此名稱可能與 Access Manager 的網域名稱不同。
password。使用者帳號的密碼。請確定密碼正確,因為 ktpass 不會驗證密碼。
userName。使用者帳號 ID。它應該與 hostname 相同。
請確保兩個 keytab 檔案均已做好安全措施。
服務範本值應類似於以下範例:
服務主體: HTTP/machine1.EXAMPLE.COM@ISQA.EXAMPLE.COM
Keytab 檔案名稱:/tmp/machine1.HTTP.keytab
Kerberos 範圍: ISQA.EXAMPLE.COM
Kerberos 伺服器名稱︰machine2.EXAMPLE.com
使用網域名稱傳回委託人:false
認證層級︰22
如果您使用 Windows 2003 或 Windows 2003 Service Pack,請使用下列 ktpass 指令語法︰
ktpass /out filename /mapuser username /princ HTTP/hostname.domainname /crypto encryptiontype /rndpass /ptype principaltype /target domainname |
例如:
ktpass /out demo.HTTP.keytab /mapuser http /princ HTTP/demo.identity.sun.com@IDENTITY.SUN.COM /crypto RC4-HMAC-NT /rndpass /ptype KRB5_NT_PRINCIPAL /target IDENTITY.SUN.COM |
如需語法定義,請參閱 http://technet2.microsoft.com/WindowsServer/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true 網站。
重新啟動伺服器。