配置 Kerberos 身份验证

要使用 Kerberos 身份验证，确保 PTR 条目存在 DNS 系统的在每个群集节点的完全限定域名（FQDN）和 URL 的反向查找区域中（如果 URL 与 FQDN 不同）。

如果您要用名称包含根域名 .local 的域来配置身份验证，您必须完成以下步骤以便操作系统准备进行正确的 Kerberos 身份验证。

在应用程序 web 界面窗口中，选择设置 → 应用程序访问 → 单点登录登录名区域。
在 Kerberos 身份验证设置区域，将使用 Kerberos 切换开关设置为已启用。
单击上传按钮可上传以前创建的 keytab 文件。
Keytab 文件必须包含带角色控制的节点和带角色辅助的节点的 SPN。
文件选择窗口将打开。
选择 keytab 文件并单击打开。
单击保存。
如果带角色控制的节点的 SPN 和带角色辅助的节点的 SPN 未在 keytab 文件中找到，在节点区域将显示此节点的 Kerberos 单点登录没有 SPN 状态。如果任何节点的 SPN 未在 keytab 文件中找到，则保存按钮不可用。

将配置 kerberos 身份验证。在 Active Directory 中完成身份验证的用户将能够使用单点登录授权连接到应用程序 web 界面。对应用程序功能的访问将由应用程序账户的权限决定。

Kerberos 身份验证被禁用时，之前已上传的 keytab 文件将会删除。