Puede utilizar la misma cuenta para autenticarse en todos los nodos de clúster. Para hacerlo, cree un archivo keytab que contenga los nombres de entidad de servicio (SPN) por cada uno de estos nodos. Al crear un archivo keytab, tendrá que usar un atributo para generar la sal, que modifica la entrada de la función de hash.
Debe usar cualquier método conveniente para guardar la "sal" generada de modo que pueda usarse más adelante cuando añada nuevos SPN al archivo keytab.
También puede crear una cuenta de usuario de Active Directory independiente para cada nodo de clúster que requiera la configuración de la autenticación Kerberos.
El archivo keytab se crea en el servidor del controlador del dominio o en un ordenador Windows Server que es parte del dominio, con la cuenta del administrador del dominio.
Para crear un archivo keytab con una cuenta de usuario, realice lo siguiente:
usuario-de-control
).usuario de control
. Para hacerlo, ejecute el siguiente comando en la línea de comandos:C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo de control>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser control-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <ruta del archivo>\<nombre del archivo>.keytab
La herramienta le pedirá que escriba la contraseña del usuario de control
cuando ejecute el comando.
El SPN del Nodo de control se añade al archivo keytab creado. La pantalla mostrará la sal generada: hash de contraseña con sal "<valor hash>".
C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser control-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <ruta y nombre del archivo creado anteriormente>.keytab -out <ruta y nombre nuevo>.keytab -setupn -setpass -rawsalt "<valor hash de la sal obtenido al crear el archivo keytab en el paso 3>"
La herramienta le pedirá que escriba la contraseña del usuario de control
cuando ejecute el comando.
Se creará el archivo keytab. Este archivo crea todos los SPN añadidos de los nodos de clúster.
Ejemplo: Por ejemplo, debe crear un archivo keytab que contenga los SPN de 3 nodos: Para crear un archivo llamado
Supongamos que recibió la sal Para añadir un SPN más, ejecute el siguiente comando:
Para añadir un tercer SPN, ejecute el siguiente comando:
Como resultado, se creará un archivo llamado |
Para crear un archivo keytab usando una cuenta de usuario independiente para cada nodo, realice lo siguiente:
usuario-de-control
, usuario-secundario1
, usuario-secundario2
, etc.).usuario de control
. Para hacerlo, ejecute el siguiente comando en la línea de comandos:C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo de control>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser control-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <ruta del archivo>\<nombre del archivo>.keytab
La herramienta le pedirá que escriba la contraseña del usuario de control
cuando ejecute el comando.
El SPN del Nodo de control se añade al archivo keytab creado.
C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser secondary1-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <ruta y nombre del archivo creado anteriormente>.keytab -out <ruta y nombre nuevo>.keytab
La herramienta le pedirá que escriba la contraseña del usuario secundario1
cuando ejecute el comando.
Se creará el archivo keytab. Este archivo crea todos los SPN añadidos de los nodos de clúster.
Ejemplo: Por ejemplo, debe crear un archivo keytab que contenga los SPN de 3 nodos: Para crear un archivo llamado
Para añadir un SPN más, ejecute el siguiente comando:
Para añadir un tercer SPN, ejecute el siguiente comando:
Como resultado, se creará un archivo llamado |