keytab ファイルの作成

ドメインコントローラーサーバーまたはドメインの一部である Windows Server コンピューターに、ドメイン管理者アカウントで keytab ファイルが作成されます。

keytab ファイルを作成するには：

1. ［Active Directory ユーザーとコンピューター］スナップインで、本製品と LDAP サーバーの接続に使用される個別のユーザーアカウントを作成します（たとえば、ksmg-ldap というアカウント）。

   ユーザーを作成する際は、［パスワードに有効期限を設定しない］オプションを選択します。

2. AES256-SHA1 暗号化アルゴリズムを使用するには、「Active Directory ユーザーとコンピューター」スナップインの［アカウント］タブで、作成したユーザーアカウントのプロパティで［このアカウントで Kerberos AES 256 ビット暗号化をサポートする］をオンにします。
3. ktpass ツールを使用して、ksmg-ldap ユーザー用の keytab ファイルを作成します。この操作には、コマンドラインで以下のコマンドを実行します：

   C:\Windows\system32\ktpass.exe -princ ksmg-ldap@<大文字の Active Directory ドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <ksmg-ldap ユーザーパスワード> -out <ファイルのパス>\<ファイル名>.keytab

   コマンドテキストでパスワードを指定しない場合は、-pass パラメータ値に記号 * を使用できます。この場合、コマンドの実行時にツールからパスワードの入力を要求されます。

   例： C:\Windows\system32\ktpass.exe -princ ksmg-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\ksmg-ldap.keytab

keytab ファイルが作成されます。ユーザーアカウントのパスワードを変更した場合、新しい keytab ファイルを生成する必要があります。

ページのトップに戻る