27.1 在 Active Directory 中設定 Kerberos 使用者帳戶

請使用 Active Directory 管理工具來對 Kerberos 驗證設定 Active Directory。您需要為 Identity Applications 和 Identity Reporting 建立新的 Active Directory 使用者帳戶。該使用者帳戶名稱必須使用代管 Identity Applications 和 Identity Reporting 的伺服器的 DNS 名稱。

附註:對於網域或領域參考,請使用大寫格式。例如 @MYCOMPANY.COM

  1. 以 Active Director 中的管理員身分,使用 Microsoft Management Console (MMC) 建立一個包含 Identity Applications 所在伺服器 DNS 名稱的新使用者帳戶。

    例如,如果 Identity Applications 伺服器的 DNS 名稱為 rbpm.mycompany.com,則可以使用以下資訊來建立使用者︰

    名: rbpm

    使用者登入名稱: HTTP/rbpm.mycompany.com

    載入 Windows 前的登入名稱: rbpm

    設定密碼: 指定相應的密碼。例如:Passw0rd

    密碼永不過期: 選取此選項。

    使用者必須在下次登入時變更密碼: 不要選取此選項。

  2. 將新使用者與服務主體名稱 (SPN) 相關聯。

    1. 在 Active Directory 伺服器中開啟一個 cmd 外圍程序。

    2. 在指令提示符處,輸入以下指令:

      setspn -A HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN userID

      例如: 

      setspn -A HTTP/rbpm.mycompany.com@MYCOMPANY.COM rbpm

    3. 輸入 setspn -L 使用者 ID 以驗證 setspn。

  3. 若要產生 keytab 檔案,請使用 ktpass 公用程式︰

    1. 在指令行提示符處,輸入以下指令:

      ktpass /out filename.keytab /princ servicePrincipalName /mapuser userPrincipalName /mapop set /pass password /crypto ALL /ptype KRB5_NT_PRINCIPAL

      例如: 

                        ktpass /out rbpm.keytab /princ HTTP/rbpm.mycompany.com@MYCOMPANY.COM /mapuser rbpm  /mapop set /pass Passw0rd /crypto All /ptype KRB5_NT_PRINCIPAL

      重要:對於網域或領域參考,請使用大寫格式。例如,@MYCOMPANY.COM

    2. rbpm.keytab 檔案複製到 Identity Applications 伺服器中。

  4. 以 Active Directory 中的管理員身分使用 MCC 建立一個最終使用者帳戶,以便為 SSO 做好準備。

    若要支援單一登入,該終端使用者帳戶名稱必須與 eDirectory 使用者的某個屬性值相符。建立名稱類似於 cnano 的使用者,記住密碼,並確保不要選取使用者必須在下次登入時變更密碼

  5. (選擇性) 如果您已將報告元件安裝在單獨的伺服器上,請對 Identity Reporting 重複這些步驟。

  6. 將 Identity Applications 的伺服器設定為接受 Kerberos 組態。如需詳細資訊,請參閱節 27.2, 設定 Identity Applications 伺服器