Crear un archivo keytab

Puede utilizar la misma cuenta para autenticarse en todos los nodos de clúster. Para hacerlo, cree un archivo keytab que contenga los nombres de entidad de servicio (SPN) por cada uno de estos nodos. Al crear un archivo keytab, tendrá que usar un atributo para generar la sal, que modifica la entrada de la función de hash.

Debe usar cualquier método conveniente para guardar la "sal" generada de modo que pueda usarse más adelante cuando añada nuevos SPN al archivo keytab.

También puede crear una cuenta de usuario de Active Directory independiente para cada nodo de clúster que requiera la configuración de la autenticación Kerberos.

Antes de crear un archivo keytab:

Antes de crear un archivo de tabla de claves, asegúrese de que ninguno de los SPN esté registrado en Active Directory. Puede hacerlo ejecutando el siguiente comando: setspn -Q <SPN>, donde <SPN> tiene la siguiente estructura: HTTP/<nombre de dominio completo (FQDN) del nodo del clúster>@<nombre de dominio Kerberos del dominio de Active Directory en mayúsculas>.

El comando debe devolver "No se ha encontrado ningún SPN", lo que significa que el SPN en cuestión no está registrado. Si el SPN ya se ha registrado, antes de crear el archivo de tabla de claves, debe anular la asignación del SPN de la cuenta o eliminar en Active Directory la cuenta que tiene asignada este SPN.

Ejemplo de verificación de un SPN para un Nodo de control y dos Nodos secundarios:

setspn -Q HTTP/control-01.test.local@TEST.LOCAL

setspn -Q HTTP/secondary-01.test.local@TEST.LOCAL

setspn -Q HTTP/secondary-02.test.local@TEST.LOCAL

Crear un archivo keytab

El archivo keytab se crea en el servidor del controlador del dominio o en un ordenador Windows Server que es parte del dominio, con la cuenta del administrador del dominio.

Para crear un archivo keytab con una cuenta de usuario, realice lo siguiente:

  1. En el complemento Usuarios y equipos de Active Directory, cree una cuenta de usuario (por ejemplo, con el nombre usuario-de-control).
  2. Para utilizar el algoritmo de cifrado AES256-SHA1, en el complemento Usuarios y ordenadores de Active Directory:
    1. Abra las propiedades de la cuenta creada.
    2. En la pestaña Cuenta, seleccione la casilla de verificación Esta cuenta admite el cifrado AES de 256 bits de Kerberos.
  3. Utilice la herramienta ktpass para crear un archivo keytab para usuario de control. Para hacerlo, ejecute el siguiente comando en la línea de comandos:

    C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo de control>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser control-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <ruta del archivo>\<nombre del archivo>.keytab

    La herramienta le pedirá que escriba la contraseña del usuario de control cuando ejecute el comando.

    El SPN del Nodo de control se añade al archivo keytab creado. La pantalla mostrará la sal generada: hash de contraseña con sal "<valor hash>".

  4. Por cada nodo de clúster, añada una entrada SPN al archivo keytab. Para hacerlo, ejecute el comando siguiente:

    C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser control-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <ruta y nombre del archivo creado anteriormente>.keytab -out <ruta y nombre nuevo>.keytab -setupn -setpass -rawsalt "<valor hash de la sal obtenido al crear el archivo keytab en el paso 3>"

    La herramienta le pedirá que escriba la contraseña del usuario de control cuando ejecute el comando.

Se creará el archivo keytab. Este archivo crea todos los SPN añadidos de los nodos de clúster.

Ejemplo:

Por ejemplo, debe crear un archivo keytab que contenga los SPN de 3 nodos: control-01.test.local, secondary-01.test.local y secondary-02.test.local.

Para crear un archivo llamado filename1.keytab que contenga el SPN del Nodo de control en la carpeta C:\keytabs\, ejecute el siguiente comando:

C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab

Supongamos que recibió la sal "TEST.LOCALHTTPcontrol-01.test.local".

Para añadir un SPN más, ejecute el siguiente comando:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename1.keytab -out C:\keytabs\filename2.keytab -setupn -setpass -rawsalt "TEST.LOCALHTTPcontrol-01.test.local"

Para añadir un tercer SPN, ejecute el siguiente comando:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-02.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename2.keytab -out C:\keytabs\filename3.keytab -setupn -setpass -rawsalt "TEST.LOCALHTTPcontrol-01.test.local"

Como resultado, se creará un archivo llamado filename3.keytab con los tres SPN añadidos.

Para crear un archivo keytab usando una cuenta de usuario independiente para cada nodo, realice lo siguiente:

  1. En el complemento Usuarios y ordenadores de Active Directory, cree una cuenta de usuario independiente para cada nodo de clúster (por ejemplo, puede crear cuentas de usuario con nombres como usuario-de-control, usuario-secundario1, usuario-secundario2, etc.).
  2. Para utilizar el algoritmo de cifrado AES256-SHA1, en el complemento Usuarios y ordenadores de Active Directory:
    1. Abra las propiedades de la cuenta creada.
    2. En la pestaña Cuenta, seleccione la casilla de verificación Esta cuenta admite el cifrado AES de 256 bits de Kerberos.
  3. Utilice la herramienta ktpass para crear un archivo keytab para usuario de control. Para hacerlo, ejecute el siguiente comando en la línea de comandos:

    C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo de control>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser control-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <ruta del archivo>\<nombre del archivo>.keytab

    La herramienta le pedirá que escriba la contraseña del usuario de control cuando ejecute el comando.

    El SPN del Nodo de control se añade al archivo keytab creado.

  4. Por cada nodo de clúster, añada una entrada SPN al archivo keytab. Para hacerlo, ejecute el comando siguiente:

    C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser secondary1-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <ruta y nombre del archivo creado anteriormente>.keytab -out <ruta y nombre nuevo>.keytab

    La herramienta le pedirá que escriba la contraseña del usuario secundario1 cuando ejecute el comando.

Se creará el archivo keytab. Este archivo crea todos los SPN añadidos de los nodos de clúster.

Ejemplo:

Por ejemplo, debe crear un archivo keytab que contenga los SPN de 3 nodos: control-01.test.local, secondary-01.test.local y secondary-02.test.local.

Para crear un archivo llamado filename1.keytab que contenga el SPN del Nodo de control en la carpeta C:\keytabs\, ejecute el siguiente comando:

C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\keytabs\filename1.keytab

Para añadir un SPN más, ejecute el siguiente comando:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-01.test.local@TEST.LOCAL -mapuser secondary1-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename1.keytab -out C:\keytabs\filename2.keytab

Para añadir un tercer SPN, ejecute el siguiente comando:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-02.test.local@TEST.LOCAL -mapuser secondary2-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename2.keytab -out C:\keytabs\filename3.keytab

Como resultado, se creará un archivo llamado filename3.keytab con los tres SPN añadidos.

Para crear un archivo keytab:

Después de crear un archivo keytab, asegúrese de que cada SPN esté registrado y asignado a la cuenta correspondiente. Puede hacerlo ejecutando el siguiente comando: setspn -Q <SPN>, donde <SPN> tiene la siguiente estructura: HTTP/<nombre de dominio completo (FQDN) del nodo del clúster>@<nombre de dominio Kerberos del dominio de Active Directory en mayúsculas>.

El comando debe devolver "Se ha encontrado un SPN existente" y la cuenta a la que está asignado el SPN.

Además, después de crear un archivo keytab, puede verificar la lista de SPN asignados a la cuenta correspondiente. Para hacerlo, puede ejecutar el siguiente comando: setspn -L <cuenta>, donde <cuenta> tiene la siguiente estructura: <nombre de usuario>@<nombre de kerberos del dominio Active Directory en mayúsculas>.

Si el archivo keytab se ha creado con una cuenta, el comando debería devolver una lista de todos los SPN para los que se creó el archivo keytab. Si el archivo keytab se creó con cuentas independientes para cada nodo, el comando debería devolver un SPN asignado a la cuenta específica.

Ejemplo de comando para una cuenta:

setspn -L control-user@TEST.LOCAL

Ejemplo de comando para cuentas independientes para cada nodo:

setspn -L control-user@TEST.LOCAL

setspn -L secondary1-user@TEST.LOCAL

setspn -L secondary2-user@TEST.LOCAL

Inicio de página