Création d'un fichier keytab

Le fichier keytab est créé sur le serveur du contrôleur de domaine ou sur l'ordinateur tournant sous Windows Server dans le domaine, sous un compte utilisateur doté des autorisations d'administrateur de domaine.

Pour créer un fichier keytab :

1. Dans le module logiciel enfichable Active Directory Users and Computers, créez un compte d'utilisateur distinct qui sera utilisé pour connecter l'application au serveur LDAP (par exemple, avec le nom ksmg-ldap).

   Lors de création d'un utilisateur, sélectionnez l'option Password never expires.

2. Pour utiliser l'algorithme de chiffrement AES256-SHA1, dans le module logiciel enfichable Active Directory Users and Computers, dans les propriétés du compte créé, sous l'onglet Account, cochez la case This account supports Kerberos AES 256 bit encryption.
3. Créez un fichier keytab pour l'utilisateur ksmg-ldap à l'aide de l'utilitaire ktpass. Pour ce faire, saisissez la commande suivante :

   C:\Windows\system32\ktpass.exe -princ ksmg-ldap@<realm nom de domaine Active Directory en majuscule> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <mot de passe de l'utilisateur ksmg-ldap> -out <chemin d'accès au fichier>\<nom du fichier>.keytab

   Vous pouvez utiliser le caractère * en tant que valeur du paramètre -pass, afin de ne pas spécifier de mot de passe dans le texte de la commande. Dans ce cas, l'utilitaire demandera un mot de passe lors de l'exécution de la commande.

   Exemple : C:\Windows\system32\ktpass.exe -princ ksmg-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\ksmg-ldap.keytab

Le fichier keytab sera créé. Dans le cas de changement de mot de passe, il faudra générer un nouveau fichier keytab.

Haut de page