27.1 在 Active Directory 中配置 Kerberos 用户帐户

请使用 Active Directory 管理工具来对 Kerberos 鉴定配置 Active Directory。您需要为 Identity Applications 和 Identity Reporting 创建新的 Active Directory 用户帐户。该用户帐户名称必须使用托管 Identity Applications 和 Identity Reporting 的服务器的 DNS 名称。

注:对于域或领域参照,请使用大写格式。例如 @MYCOMPANY.COM

  1. 以 Active Director 中的管理员身份,使用 Microsoft 管理控制台 (MMC) 创建一个包含 Identity Applications 所在服务器 DNS 名称的新用户帐户。

    例如,如果 Identity Applications 服务器的 DNS 名称为 rbpm.mycompany.com,则可以使用以下信息来创建用户:

    名: rbpm

    用户登录名: HTTP/rbpm.mycompany.com

    Windows 以前版本的登录名: rbpm

    设置口令: 指定相应的口令。例如:Passw0rd

    密码永不过期: 选择此选项。

    用户下次登录时须更改密码: 不要选择此选项。

  2. 将新用户与服务主体名称 (SPN) 相关联。

    1. 在 Active Directory 服务器中打开一个 cmd 外壳。

    2. 在命令提示时输入以下命令:

      setspn -A HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN userID

      例如: 

      setspn -A HTTP/rbpm.mycompany.com@MYCOMPANY.COM rbpm

    3. 输入 setspn -L userID 以校验 setspn。

  3. 要生成 keytab 文件,请使用 ktpass 实用程序:

    1. 在命令行提示符处输入以下命令:

      ktpass /out filename.keytab /princ servicePrincipalName /mapuser userPrincipalName /mapop set /pass password /crypto ALL /ptype KRB5_NT_PRINCIPAL

      例如: 

                        ktpass /out rbpm.keytab /princ HTTP/rbpm.mycompany.com@MYCOMPANY.COM /mapuser rbpm  /mapop set /pass Passw0rd /crypto All /ptype KRB5_NT_PRINCIPAL

      重要说明:对于域或领域参照,请使用大写格式。例如,@MYCOMPANY.COM

    2. rbpm.keytab 文件复制到 Identity Applications 服务器中。

  4. 以 Active Directory 中的管理员身份使用 MCC 创建一个最终用户帐户,以便为 SSO 做好准备。

    为支持单点登录,该最终用户帐户名必须与 eDirectory 用户的某个属性值匹配。创建名称类似于 cnano 的用户,记住口令并确保用户下次登录时须更改密码处于未选中状态。

  5. (可选)如果您已将报告组件安装在单独的服务器上,请对 Identity Reporting 重复这些步骤。

  6. 将 Identity Applications 的服务器配置为接受 Kerberos 配置。有关详细信息,请参见部分 27.2, 配置 Identity Applications 服务器