Создание keytab-файла
12 сентября 2024
ID 233047
Keytab-файл создается на сервере контроллера домена или на компьютере под управлением Windows Server, входящем в домен, под учетной записью с правами доменного администратора.
Чтобы создать keytab-файл:
- В оснастке Active Directory Users and Computers создайте отдельную учетную запись пользователя, которая будет использоваться для подключения программы к LDAP-серверу (например, с именем
kwts-ldap
).При создании пользователя требуется выбрать опцию Password never expires.
- Чтобы использовать алгоритм шифрования AES256-SHA1, в оснастке Active Directory Users and Computers в свойствах созданной учетной записи на закладке Account установите флажок This account supports Kerberos AES 256 bit encryption.
- Создайте keytab-файл для пользователя
kwts-ldap
с помощью утилиты ktpass. Для этого в командной строке выполните следующую команду:C:\Windows\system32\ktpass.exe -princ kwts-ldap@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя kwts-ldap> -out <путь к файлу>\<имя файла>.keytab
Вы можете использовать символ * в качестве значения параметра -pass, чтобы не указывать пароль в тексте команды. В этом случае утилита запросит пароль в процессе выполнения команды.
Пример:
C:\Windows\system32\ktpass.exe -princ kwts-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\kwts-ldap.keytab
Keytab-файл будет создан. В случае изменения пароля учетной записи потребуется сгенерировать новый keytab-файл.