创建 keytab 文件

在域管理员账户下,在域控制器服务器或作为域一部分的 Windows Server 计算机上创建 keytab 文件。

要创建 keytab 文件:

  1. Active Directory 用户和计算机管理单元中,创建一个单独的用户账户(例如,名为 ksmg-ldap 的账户),用于将应用程序连接到 LDAP 服务器。

    创建用户时,选择密码永不过期选项。

  2. 要使用 AES256-SHA1 加密算法,请在 Active Directory 用户和计算机管理单元的账户选项卡上的已创建用户账户的属性中,选中此账户支持 Kerberos AES 256 位加密复选框。
  3. 使用 ktpass 工具为 ksmg-ldap 用户创建 keytab 文件。为此,请在命令行运行以下命令:

    C:\Windows\system32\ktpass.exe -princ ksmg-ldap@<大写的 realm Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <ksmg-ldap 用户密码> -out <文件路径>\<文件名>.keytab

    如果您不想在命令文本中提供密码,可以使用 * 字符作为 -pass 参数值。如果是这种情况,该工具会在运行命令时提示您输入密码。

    示例:

    C:\Windows\system32\ktpass.exe -princ ksmg-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\ksmg-ldap.keytab

将创建 keytab 文件。如果更改用户账户密码,则必须生成新的 keytab 文件。

页面顶部