在Microsoft Active Directory环境中启用Kerberos身份验证

在本节中，我们将简单了解Microsoft Active Directory环境中如何启用Kerberos身份验证。

1.   Microsoft Active Directory 简述

本节将简要介绍如何为Kerberos身份验证配置Microsoft Active Directory，关于 Microsoft Kerberos 的详细信息，请参阅https://docs.microsoft.com/en-us/windows/desktop/secauthn/microsoft-kerberos。 如要在Microsoft Active Directory中启用Kerberos身份验证，需要如下步骤：

• 为Kerberos单点登录 （SSO）添加服务用户;

• 创建 Keytab文件并将凭据映射到服务主体 (Service Principal);

2. Kerberos单点登录添加服务用户

按照如下步骤添加服务用户：

? 在Windows 2008域控制器上，选择“开始”，“控制面板”，“管理工具”，“Active Directory用户和计算机”；

? 从菜单栏中，选择“操作”，“新建”，“用户”；

? 在“Full name”和“User logon name”字段中输入值，应使用组织内部命名的约定， 例如：

Full name：Kerberos Server

User Logon name：krbsrv

? 点击下一步;

? 使用下表设置密码和复选框值；

? 点击下一步并且点击结束按钮；

3. 生成Keytab文件并映射服务主体

根据如下步骤，生成keytab文件并映射服务主体名称，注意，这些步骤假定服务用户是krbsrv，Realm是example.com;

? 选择“开始”，“运行”，然后在“打开”字段中输入cmd，打开命令窗口;

? 在命令窗口中，输入:

该命令参数如下：

? 提示输入密码时，输入密码， 可以重置密码，不必与创建用户时使用的密码相同；

? 验证输出是否与以下类似。 如果类似，则映射完成，keytab文件krb5.keytab位于C：\ temp目录中；

Key created.
Output keytab to c:\temp\krb5.keytab:
Keytab version: 0x502
keysize 83 HTTP/www.example.com@EXAMPLE.COM 
                
ptype 1 (KRB5_NT_PRINCIPAL) vno 15 etype 0x17 (RC4-HMAC) 
keylength 16 (0xdd74540caa4a230af2ed75558a37995d)

4. 使用SetSPN设置Active Directory服务主体

SPN是对特定服务的引用，例如，SQL Server的实例或IIS运行的Web应用程序。

建立Kerberos身份验证方法时的常见配置步骤是使用服务主体名称或SPN来标识特定服务。SetSPN是Windows Server 2008和Server 2008 R2的自带应用程序。可以使用该命令来设置SPN。

如何为Active Directory帐户设置SPN

为Active Directory帐户设置SPN的最简单方法是使用SetSPN实用程序，示例如下：

SetSPN -a HTTP / myweb.contoso.com contoso \ MyWebAppPoolID
SetSPN -a HTTP / myweb contoso \ MyWebAppPoolId

该命令将Web应用程序的SPN设置为用于应用程序标识的服务帐户。

SetSPN命令支持的option 如下所示：

-a向帐户添加条目（显式）

-s向帐户添加条目（仅在首先检查重复项后）

-d从帐户中删除条目

-x在域中搜索重复的SPN

-q查询特定SPN的域

5. KTPASS 命令简介

在Active Directory域服务中配置服务主体名称，并生成包含服务的共享密钥的keytab文件，可以使用ktpass命令。 keytab文件基于麻省理工学院（MIT）的Kerberos身份验证协议实现。该命令如下所示：

以下示例说明如何在用户Sample1的当前目录中创建Kerberos .keytab文件：

? 使用“Active Directory用户和计算机”创建用户帐户。例如，创建名为Sample1的帐户；

? 通过在命令提示符处键入以下内容，使用Ktpass为用户帐户映射SPN;

ktpass / princ host/Sample1.contoso.com@CONTOSO.COM / mapuser Sample1 / pass MyPas $ w0rd / out Sample1.keytab / crypto all / ptype KRB5_NT_PRINCIPAL / mapop set

需要注意：

• 无法将多个服务映射到同一个用户帐户；

• 可以将keytab文件与运行在Windows操作系统的主机上的/Etc/Krb5.keytab文件合并；