Jeden účet lze použít k ověřování u všech uzlů clusteru. Za tímto účelem musíte pro každý uzel vytvořit soubor keytab obsahující hlavní název služby (dále také označován jako „SPN“). Při vytváření souboru keytab budete muset použít atribut pro generování náhodného řetězce (salt), který upravuje vstup hashovací funkce.
K uložení vygenerovaného náhodného řetězce (salt) můžete použít jakýkoli vyhovující způsob, aby jej bylo možné použít později při přidávání nových SPN do souboru keytab.
Můžete také vytvořit samostatný uživatelský účet služby Active Directory pro každý uzel clusteru, který vyžaduje konfiguraci ověřování Kerberos.
Soubor keytab je vytvořen na serveru řadiče domény nebo v počítači se systémem Windows Server, který je součástí domény, pod účtem správce domény.
Postup vytvoření souboru keytab pomocí jednoho uživatelského účtu:
control-user
).control-user
. To provedete zadáním následujícího příkazu v příkazovém řádku:C:\Windows\system32\ktpass.exe -princ HTTP/<úplný název domény (FQDN) řídicího uzlu>@<název sféry domény Active Directory velkými písmeny> -mapuser control-user@<název sféry domény Active Directory velkými písmeny> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <cesta k souboru>\<název souboru>.keytab
Nástroj vás při spuštění příkazu vyzve k zadání hesla uživatele control-user
.
Do vytvořeného souboru keytab se přidá SPN řídicího uzlu. Na obrazovce se zobrazí vygenerovaný náhodný řetězec (salt): Heslo se hashuje pomocí náhodného řetězce "<hodnota hash>".
C:\Windows\system32\ktpass.exe -princ HTTP/<úplný název domény (FQDN) uzlu>@<název domény Active Directory sféry velkými písmeny> -mapuser control-user@<název domény Active Directory sféry velkými písmeny > -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <cesta k dříve vytvořenému souboru a jeho název>.keytab -out <cesta a nový název>.keytab - setupn -setpass -rawsalt "<hodnota hash náhodného řetězce získaná při vytváření souboru keytab v kroku 3>"
Nástroj vás při spuštění příkazu vyzve k zadání hesla uživatele control-user
.
Bude vytvořen soubor keytab. Tento soubor vytvoří všechny přidané SPN uzlů clusteru.
Příklad: Potřebujete například vytvořit soubor keytab obsahující SPN 3 uzlů: Chcete-li vytvořit soubor s názvem
Předpokládejme, že jste obdrželi náhodný řetězec Chcete-li přidat třetí SPN, zadejte následující příkaz:
Chcete-li přidat třetí SPN, zadejte následující příkaz:
Výsledkem bude vytvoření souboru s názvem |
Postup vytvoření souboru keytab pomocí samostatného uživatelského účtu pro každý uzel:
control-user
, secondary1-user
, secondary2-user
atd.).control-user
. To provedete zadáním následujícího příkazu v příkazovém řádku:C:\Windows\system32\ktpass.exe -princ HTTP/<úplný název domény (FQDN) řídicího uzlu>@<název sféry domény Active Directory velkými písmeny> -mapuser control-user@<název sféry domény Active Directory velkými písmeny> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <cesta k souboru>\<název souboru>.keytab
Nástroj vás při spuštění příkazu vyzve k zadání hesla uživatele control-user
.
Do vytvořeného souboru keytab se přidá SPN řídicího uzlu.
C:\Windows\system32\ktpass.exe -princ HTTP/<úplný název domény (FQDN) uzlu>@<název domény Active Directory sféry velkými písmeny> -mapuser secondary1-user@<název domény Active Directory sféry velkými písmeny > -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <cesta k dříve vytvořenému souboru a jeho název>.keytab -out <cesta a nový název>.keytab
Nástroj vás při spuštění příkazu vyzve k zadání hesla uživatele secondary1-user
.
Bude vytvořen soubor keytab. Tento soubor vytvoří všechny přidané SPN uzlů clusteru.
Příklad: Potřebujete například vytvořit soubor keytab obsahující SPN 3 uzlů: Chcete-li vytvořit soubor s názvem
Chcete-li přidat třetí SPN, zadejte následující příkaz:
Chcete-li přidat třetí SPN, zadejte následující příkaz:
Výsledkem bude vytvoření souboru s názvem |