У меня возникла проблема, когда я получаю от веб-интерфейса SEM запрос на ввод моих учетных данных. Предоставляю учетные данные (мы используем и токены, и пароли). Это не сработает, если я не закрою приглашение. LDAP работает нормально.
У меня есть ЦС, которым я подписал сертификат ssl. Имя SEM - sem.domain (это автономный домен). Консоль sem имеет правильные конфигурации домена и IP.
Мне удалось создать keytab со следующим:
\ ktpass.exe -princ HTTP / sem.domain -pass *** -mapuser domain \ sem -pType KRB5_NT_PRINCIPAL -crypto ALL -Out c: \ Keytab \ sem.keytab
Я также попытался изменить его на AES256, поскольку для DISA STIG требуется как минимум AES128. Но у меня все еще проблема.
Я перенес keytab через общий ресурс sysvol домена на сервер SEM.
Журнал наблюдения (меню «Менеджер» в консоли CMC) показывает, что существует проблема с контрольной суммой Kerberos, прежде чем я даже выберу учетную запись для входа в систему.
Оказывается, это был синтаксис. Домен должен быть DOMAIN (все заглавными буквами). Итак, команда для KTPASS должна быть следующей:
. \ ktpass.exe -princ HTTP/sem.domain@DOMAIN -pass *** -mapuser domain \ sem -pType KRB5_NT_PRINCIPAL -crypto ALL -Out c: \ Keytab \ sem.keytab
ПРИМЕЧАНИЕ. Ключевым отличием является «HTTP/sem.domain@DOMAIN»
Вот выдержка из информационной документации KTPASS на веб-сайте Microsoft Docs:
"/ princ Указывает главное имя в форме host/computer.contoso.com@CONTOSO.COM. Предупреждение: этот параметр чувствителен к регистру."
https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass