请使用 Active Directory 管理工具来对 Kerberos 鉴定配置 Active Directory。您需要为 Identity Applications 和 Identity Reporting 创建新的 Active Directory 用户帐户。该用户帐户名称必须使用托管 Identity Applications 和 Identity Reporting 的服务器的 DNS 名称。
注:对于域或领域参照,请使用大写格式。例如 @MYCOMPANY.COM。
以 Active Director 中的管理员身份,使用 Microsoft 管理控制台 (MMC) 创建一个包含 Identity Applications 所在服务器 DNS 名称的新用户帐户。
例如,如果 Identity Applications 服务器的 DNS 名称为 rbpm.mycompany.com,则可以使用以下信息来创建用户:
名: rbpm
用户登录名: HTTP/rbpm.mycompany.com
Windows 以前版本的登录名: rbpm
设置口令: 指定相应的口令。例如:Passw0rd。
密码永不过期: 选择此选项。
用户下次登录时须更改密码: 不要选择此选项。
将新用户与服务主体名称 (SPN) 相关联。
在 Active Directory 服务器中打开一个 cmd 外壳。
在命令提示时输入以下命令:
setspn -A HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN userID
例如:
setspn -A HTTP/rbpm.mycompany.com@MYCOMPANY.COM rbpm
输入 setspn -L userID 以校验 setspn。
要生成 keytab 文件,请使用 ktpass 实用程序:
在命令行提示符处输入以下命令:
ktpass /out filename.keytab /princ servicePrincipalName /mapuser userPrincipalName /mapop set /pass password /crypto ALL /ptype KRB5_NT_PRINCIPAL
例如:
ktpass /out rbpm.keytab /princ HTTP/rbpm.mycompany.com@MYCOMPANY.COM /mapuser rbpm /mapop set /pass Passw0rd /crypto All /ptype KRB5_NT_PRINCIPAL
重要说明:对于域或领域参照,请使用大写格式。例如,@MYCOMPANY.COM。
将 rbpm.keytab 文件复制到 Identity Applications 服务器中。
以 Active Directory 中的管理员身份使用 MCC 创建一个最终用户帐户,以便为 SSO 做好准备。
为支持单点登录,该最终用户帐户名必须与 eDirectory 用户的某个属性值匹配。创建名称类似于 cnano 的用户,记住口令并确保用户下次登录时须更改密码处于未选中状态。
(可选)如果您已将报告组件安装在单独的服务器上,请对 Identity Reporting 重复这些步骤。
将 Identity Applications 的服务器配置为接受 Kerberos 配置。有关详细信息,请参见部分 27.2, 配置 Identity Applications 服务器。