Se você já criou um arquivo keytab para autenticação única, pode usar este arquivo para configurar a autenticação Kerberos no servidor proxy.
Você pode usar a mesma conta de usuário para a autenticação em todos os nodes de um cluster. Para isso, deve-se criar um arquivo keytab contendo o nome do diretor de serviço (SPN) para cada um destes nodes. Ao criar um arquivo keytab, você deve usar o atributo para gerar um salt (modificador de função hash).
O salt gerado deve ser salvo usando um método de sua escolha para adicionar posteriormente novos SPNs ao arquivo de keytab.
Também é possível criar uma conta de usuário do Active Directory separada para cada node do cluster para o qual deseja configurar a autenticação Kerberos.
O arquivo keytab é criado no servidor do controlador de domínio ou em um computador com Windows Server que faça parte do domínio, em uma conta de administrador de domínio.
Para criar um arquivo keytab usando uma conta de usuário única:
control-user
.control-user
, usando o utilitário ktpass. Para fazer isso, execute o seguinte comando na linha de comando:C:\Windows\system32\ktpass.exe -princ HTTP/<nome completo do domínio qualificado (FQDN) do node de controle>@<nome do domínio do Active Directory do realm em letras maiúsculas> -mapuser control-user@<nome do domínio do Active Directory do realm em letras maiúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * + dumpsalt -out <caminho para arquivo>\<nome do arquivo>.keytab
O utilitário solicitará a senha do control-user
ao executar o comando.
O SPN do node com função Controle será adicionado ao arquivo keytab criado. O salt gerado será mostrado: Hash da senha com salt “<valor do hash>”.
C:\Windows\system32\ktpass.exe -princ HTTP/<nome do domínio totalmente qualificado (FQDN) do node>@<nome do domínio do Active Directory em maiúsculas do realm> -mapuser control-user@<nome do domínio do Active Directory em maiúsculas do realm> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <caminho e nome do arquivo criado anteriormente>.keytab -out <caminho e novo nome>.keytab -setupn -setpass -rawsalt “<valor do hash do salt obtido ao criar o arquivo keytab na etapa 3>”
O utilitário solicitará a senha do control-user
ao executar o comando.
O arquivo keytab será criado. Esse arquivo conterá todos os SPNs adicionados dos nodes do cluster.
Exemplo: Por exemplo, você precisa criar um arquivo keytab que contém SPNs de 3 nodes: Para criar um arquivo denominado
Suponha que você tenha o salt Para adicionar outro SPN, você deve executar o seguinte comando:
Para adicionar um terceiro SPN, você deve executar o seguinte comando:
Isso resultará na criação de um arquivo denominado |
Para criar um arquivo keytab usando uma conta de usuário separada para cada node:
control-user
, secondary1-user
, secondary2-user
e assim por diante).control-user
, usando o utilitário ktpass. Para fazer isso, execute o seguinte comando na linha de comando:C:\Windows\system32\ktpass.exe -princ HTTP/<nome completo do domínio qualificado (FQDN) do node de controle>@<nome do domínio do Active Directory do realm em letras maiúsculas> -mapuser control-user@<nome do domínio do Active Directory do realm em letras maiúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <caminho para arquivo>\<nome do arquivo>.keytab
O utilitário solicitará a senha do control-user
ao executar o comando.
O SPN do node com função Controle será adicionado ao arquivo keytab criado.
C:\Windows\system32\ktpass.exe -princ HTTP/<nome do domínio totalmente qualificado (FQDN) do node>@<nome do domínio do Active Directory em maiúsculas do realm> -mapuser secondary1-user@<nome do domínio do Active Directory em maiúsculas do realm> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <caminho e nome do arquivo criado anteriormente>.keytab -out <caminho e novo nome>.keytab
O utilitário solicitará a senha do secondary1-user
ao executar o comando.
O arquivo keytab será criado. Esse arquivo conterá todos os SPNs adicionados dos nodes do cluster.
Exemplo: Por exemplo, você precisa criar um arquivo keytab que contém SPNs de 3 nodes: Para criar um arquivo denominado
Para adicionar outro SPN, você deve executar o seguinte comando:
Para adicionar um terceiro SPN, você deve executar o seguinte comando:
Isso resultará na criação de um arquivo denominado |