Puede utilizar la misma cuenta para autenticarse en todos los nodos de clúster. Para hacerlo, cree un archivo keytab que contenga los nombres de entidad de servicio (SPN) por cada uno de estos nodos. Al crear un archivo keytab, tendrá que usar un atributo para generar la sal, que modifica la entrada de la función de hash.
Debe usar cualquier método conveniente para guardar la "sal" generada de modo que pueda usarse más adelante cuando añada nuevos SPN al archivo keytab.
También puede crear una cuenta de usuario de Active Directory independiente para cada nodo de clúster que requiera la configuración de la autenticación Kerberos.
Antes de crear un archivo keytab:
Antes de crear un archivo de tabla de claves, asegúrese de que ninguno de los SPN esté registrado en Active Directory. Puede hacerlo ejecutando el siguiente comando: setspn -Q <SPN>
, donde <SPN>
tiene la siguiente estructura: HTTP/<nombre de dominio completo (FQDN) del nodo del clúster>@<nombre de dominio Kerberos del dominio de Active Directory en mayúsculas>
.
El comando debe devolver "No se ha encontrado ningún SPN"
, lo que significa que el SPN en cuestión no está registrado. Si el SPN ya se ha registrado, antes de crear el archivo de tabla de claves, debe anular la asignación del SPN de la cuenta o eliminar en Active Directory la cuenta que tiene asignada este SPN.
Ejemplo de verificación de un SPN para un Nodo de control y dos Nodos secundarios: setspn -Q HTTP/control-01.test.local@TEST.LOCAL setspn -Q HTTP/secondary-01.test.local@TEST.LOCAL setspn -Q HTTP/secondary-02.test.local@TEST.LOCAL |
Crear un archivo keytab
El archivo keytab se crea en el servidor del controlador del dominio o en un ordenador Windows Server que es parte del dominio, con la cuenta del administrador del dominio.
Para crear un archivo keytab con una cuenta de usuario, realice lo siguiente:
Usuarios y equipos de Active Directory
, cree una cuenta de usuario (por ejemplo, con el nombre usuario-de-control).usuario de control
. Para hacerlo, ejecute el siguiente comando en la línea de comandos:C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo de control>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser control-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <ruta del archivo>\<nombre del archivo>.keytab
La herramienta le pedirá que escriba la contraseña del usuario de control
cuando ejecute el comando.
El SPN del Nodo de control se añade al archivo keytab creado. La pantalla mostrará la sal generada: hash de contraseña con sal "<valor hash>".
C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser control-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <ruta y nombre del archivo creado anteriormente>.keytab -out <ruta y nombre nuevo>.keytab -setupn -setpass -rawsalt "<valor hash de la sal obtenido al crear el archivo keytab en el paso 3>"
La herramienta le pedirá que escriba la contraseña del usuario de control
cuando ejecute el comando.
Se creará el archivo keytab. Este archivo crea todos los SPN añadidos de los nodos de clúster.
Ejemplo: Por ejemplo, debe crear un archivo keytab que contenga los SPN de 3 nodos: Para crear un archivo llamado
Supongamos que recibió la sal Para añadir un SPN más, ejecute el siguiente comando:
Para añadir un tercer SPN, ejecute el siguiente comando:
Como resultado, se creará un archivo llamado |
Para crear un archivo keytab usando una cuenta de usuario independiente para cada nodo, realice lo siguiente:
usuario-de-control
, usuario-secundario1
, usuario-secundario2
, etc.).usuario de control
. Para hacerlo, ejecute el siguiente comando en la línea de comandos:C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo de control>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser control-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <ruta del archivo>\<nombre del archivo>.keytab
La herramienta le pedirá que escriba la contraseña del usuario de control
cuando ejecute el comando.
El SPN del Nodo de control se añade al archivo keytab creado.
C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser secondary1-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <ruta y nombre del archivo creado anteriormente>.keytab -out <ruta y nombre nuevo>.keytab
La herramienta le pedirá que escriba la contraseña del usuario secundario1
cuando ejecute el comando.
Se creará el archivo keytab. Este archivo crea todos los SPN añadidos de los nodos de clúster.
Ejemplo: Por ejemplo, debe crear un archivo keytab que contenga los SPN de 3 nodos: Para crear un archivo llamado
Para añadir un SPN más, ejecute el siguiente comando:
Para añadir un tercer SPN, ejecute el siguiente comando:
Como resultado, se creará un archivo llamado |
Para crear un archivo keytab:
Después de crear un archivo keytab, asegúrese de que cada SPN esté registrado y asignado a la cuenta correspondiente. Puede hacerlo ejecutando el siguiente comando: setspn -Q <SPN>
, donde <SPN>
tiene la siguiente estructura: HTTP/<nombre de dominio completo (FQDN) del nodo del clúster>@<nombre de dominio Kerberos del dominio de Active Directory en mayúsculas>
.
El comando debe devolver "Se ha encontrado un SPN existente"
y la cuenta a la que está asignado el SPN.
Además, después de crear un archivo keytab, puede verificar la lista de SPN asignados a la cuenta correspondiente. Para hacerlo, puede ejecutar el siguiente comando: setspn -L <cuenta>
, donde <cuenta>
tiene la siguiente estructura: <nombre de usuario>@<nombre de kerberos del dominio Active Directory en mayúsculas>
.
Si el archivo keytab se ha creado con una cuenta, el comando debería devolver una lista de todos los SPN para los que se creó el archivo keytab. Si el archivo keytab se creó con cuentas independientes para cada nodo, el comando debería devolver un SPN asignado a la cuenta específica.
Ejemplo de comando para una cuenta: setspn -L control-user@TEST.LOCAL Ejemplo de comando para cuentas independientes para cada nodo: setspn -L control-user@TEST.LOCAL setspn -L secondary1-user@TEST.LOCAL setspn -L secondary2-user@TEST.LOCAL |