keytab ファイルの作成

ドメインコントローラーサーバーまたはドメインの一部である Windows Server コンピューターに、ドメイン管理者アカウントで keytab ファイルが作成されます。

keytab ファイルを作成するには:

  1. Active Directory ユーザーとコンピューター]スナップインで、本製品と LDAP サーバーの接続に使用される個別のユーザーアカウントを作成します(たとえば、ksmg-ldap というアカウント)。

    ユーザーを作成する際は、[パスワードに有効期限を設定しない]オプションを選択します。

  2. AES256-SHA1 暗号化アルゴリズムを使用するには、「Active Directory ユーザーとコンピューター」スナップインの[アカウント]タブで、作成したユーザーアカウントのプロパティで[このアカウントで Kerberos AES 256 ビット暗号化をサポートする]をオンにします。
  3. ktpass ツールを使用して、ksmg-ldap ユーザー用の keytab ファイルを作成します。この操作には、コマンドラインで以下のコマンドを実行します:

    C:\Windows\system32\ktpass.exe -princ ksmg-ldap@<大文字の Active Directory ドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <ksmg-ldap ユーザーパスワード> -out <ファイルのパス>\<ファイル名>.keytab

    コマンドテキストでパスワードを指定しない場合は、-pass パラメータ値に記号 * を使用できます。この場合、コマンドの実行時にツールからパスワードの入力を要求されます。

    例:

    C:\Windows\system32\ktpass.exe -princ ksmg-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\ksmg-ldap.keytab

keytab ファイルが作成されます。ユーザーアカウントのパスワードを変更した場合、新しい keytab ファイルを生成する必要があります。

ページのトップに戻る