keytab ファイルの作成

マスターサーバーとスレーブサーバーの認証に同じアカウントを使用できます。各サーバーの SPN（サービスプリンシパル名）を含む keytab ファイルを作成する必要があります。

keytab ファイルを作成するには：

1. ドメインコントローラーサーバーの「Active Directory ユーザーとコンピューター」スナップインで、「control-<ユーザー名>」というユーザーアカウントを作成します。
2. AES256-SHA1 暗号化アルゴリズムを使用する場合は、Active Directory ユーザーとコンピュータースナップインで次の操作を実行します：
   1. 作成したアカウントのプロパティを開きます。
   2. ［アカウント］タブで、［このアカウントで Kerberos AES 256 ビット暗号化をサポートする］をオンにします。
3. ユーザー「control-<ユーザー名>」の keytab ファイルを作成します。この操作には、コマンドラインで以下のコマンドを実行します：

   C:\Windows\system32\ktpass.exe -princ HTTP/<マスターサーバー名>@<Active Directory の大文字のドメイン名>> -mapuser control-<ユーザー名>@<Active Directory の大文字のドメイン名>> -crypto <暗号化種別。推奨種別は RC4-HMAC-NT> -ptype KRB5_NT_PRINCIPAL -pass <「control-<ユーザー名>」のユーザーパスワード> -out C:\control-tmp1-<ユーザー名>.keytab

   作成された keytab ファイルにマスターサーバーの SPN が追加されます。

4. スレーブサーバーを利用できる場合は、keytab ファイルに 2 つ目の SPN エントリを追加します。この操作には、次のコマンドを実行します：

   C:\Windows\system32\ktpass.exe -princ HTTP/<スレーブサーバー名>@<Active Directory の大文字のドメイン名>> -mapuser control-<ユーザー名>@<Active Directory の大文字のドメイン名>> -crypto <暗号化種別。推奨種別は RC4-HMAC-NT> -ptype KRB5_NT_PRINCIPAL -pass <「control-<ユーザー名>」のユーザーパスワード> -in C:\control-tmp1-<ユーザー名>.keytab -out C:\control-tmp2-<ユーザー名>.keytab -setupn -setpass

   必要に応じて、keytab ファイルにエントリを追加するスレーブサーバーごとに、この手順を繰り返します。

keytab ファイルが作成されます。

ページのトップに戻る