Configuration Du Compte Utilisateur Kerberos Dans Active Directory

Home » Active Directory Créer Compte De Service » Configuration Du Compte Utilisateur Kerberos Dans Active Directory

Maybe your like

50.1 Configuration du compte utilisateur Kerberos dans Active Directory

Utilisez les outils d'administration Active Directory pour configurer Active Directory pour l'authentification Kerberos. Vous devez créer un nouveau compte utilisateur Active Directory pour les applications d'identité et Identity Reporting. Le nom du compte utilisateur doit utiliser le nom DNS du serveur qui héberge les applications d'identité et Identity Reporting.

REMARQUE :pour les références de domaine ou de domaine Kerberos, utilisez le format en majuscules. Par exemple : @MYCOMPANY.COM.

  1. En tant qu'administrateur dans Active Directory, utilisez MMC (Microsoft Management Console) pour créer un nouveau compte utilisateur avec le nom DNS du serveur hébergeant les applications d'identité.

    Par exemple, si le nom DNS du serveur d'applications d'identité est rbpm.mycompany.com, utilisez les informations suivantes pour créer l'utilisateur :

    First name (Prénom) : rbpm

    User login name (Nom de connexion de l'utilisateur) : HTTP/rbpm.mycompany.com

    Pre-windows logon name (Nom de connexion pré-Windows) : rbpm

    Set password (Définir le mot de passe) : spécifiez le mot de passe approprié. Par exemple : Passw0rd.

    Password never expires (Le mot de passe n'expire jamais) : sélectionnez cette option.

    User must change password at next logon (L'utilisateur doit changer de mot de passe à la prochaine connexion) : ne sélectionnez pas cette option.

  2. Associez le nouvel utilisateur avec le SPN (Service Principal Name).

    1. Sur le serveur Active Directory, ouvrez un shell de commande.

    2. À l'invite, saisissez la commande suivante :

      setspn -A HTTP/DNS_Identity_Applications_server@WINDOWS-DOMAIN userID

      Par exemple :

      setspn -A HTTP/[email protected] rbpm

    3. Vérifiez setspn en entrant setspn -L userID.

  3. Pour générer le fichier keytab, utilisez l'utilitaire ktpass :

    1. Dans la ligne de commande, entrez ce qui suit :

      ktpass /out filename.keytab /princ servicePrincipalName /mapuser userPrincipalName /mapop set /pass password /crypto ALL /ptype KRB5_NT_PRINCIPAL

      Par exemple :

      ktpass /out rbpm.keytab /princ HTTP/[email protected] /mapuser rbpm /mapop set /pass Passw0rd /crypto All /ptype KRB5_NT_PRINCIPAL

      IMPORTANT :pour les références de domaine ou de domaine Kerberos, utilisez le format en majuscules. Par exemple : @MYCOMPANY.COM.

    2. Copiez le fichier rbpm.keytab sur votre serveur d'applications d'identité.

  4. En tant qu'administrateur dans Active Directory, créez un compte utilisateur final avec MCC pour préparer la fonctionnalité SSO.

    Le nom du compte utilisateur final doit correspondre à une valeur d'attribut d'un utilisateur eDirectory pour permettre la prise en charge de Single Sign-on. Créez un utilisateur avec un nom comme cnano, mémorisez le mot de passe et veillez à ce que l'option User must change password at next logon (L'utilisateur doit changer de mot de passe à la prochaine connexion) ne soit pas sélectionnée.

  5. (Facultatif) Si vous avez installé Identity Reporting sur un serveur distinct, répétez ces étapes pour le composant de création de rapports.

  6. Configurez le serveur des applications d'identité pour accepter la configuration Kerberos. Pour plus d'informations, reportez-vous à la Section 50.2, Configuration du serveur d'applications d'identité.

Tag » Active Directory Créer Compte De Service