Создание keytab-файла
23 мая 2024
ID 226823
Keytab-файл создается на сервере контроллера домена или на компьютере под управлением Windows Server®, входящем в домен, под учетной записью с правами доменного администратора.
Чтобы создать keytab-файл:
- В оснастке Active Directory Users and Computers создайте отдельную учетную запись пользователя, которая будет использоваться для подключения приложения к LDAP-серверу (например, с именем
ksmg-ldap
).При создании пользователя выберите опцию Password never expires.
- Чтобы использовать алгоритм шифрования AES256-SHA1, в оснастке Active Directory Users and Computers в свойствах созданной учетной записи на закладке Account установите флажок This account supports Kerberos AES 256 bit encryption.
- Создайте keytab-файл для пользователя
ksmg-ldap
с помощью утилиты ktpass. Для этого в командной строке выполните следующую команду:C:\Windows\system32\ktpass.exe -princ ksmg-ldap@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя ksmg-ldap> -out <путь к файлу>\<имя файла>.keytab
Вы можете использовать символ * в качестве значения параметра -pass, чтобы не указывать пароль в тексте команды. В этом случае утилита запросит пароль в процессе выполнения команды.
Пример:
C:\Windows\system32\ktpass.exe -princ ksmg-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\ksmg-ldap.keytab
Keytab-файл будет создан. В случае изменения пароля учетной записи потребуется сгенерировать новый keytab-файл.