Создание keytab-файла

Keytab-файл создается на сервере контроллера домена или на компьютере под управлением Windows Server, входящем в домен, под учетной записью с правами доменного администратора.

Чтобы создать keytab-файл:

  1. В оснастке Active Directory Users and Computers создайте отдельную учетную запись пользователя, которая будет использоваться для подключения программы к LDAP-серверу (например, с именем kwts-ldap).

    При создании пользователя требуется выбрать опцию Password never expires.

  2. Чтобы использовать алгоритм шифрования AES256-SHA1, в оснастке Active Directory Users and Computers в свойствах созданной учетной записи на закладке Account установите флажок This account supports Kerberos AES 256 bit encryption.
  3. Создайте keytab-файл для пользователя kwts-ldap с помощью утилиты ktpass. Для этого в командной строке выполните следующую команду:

    C:\Windows\system32\ktpass.exe -princ kwts-ldap@<realm имя домена Active Directory в верхнем регистре> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <пароль пользователя kwts-ldap> -out <путь к файлу>\<имя файла>.keytab

    Вы можете использовать символ * в качестве значения параметра -pass, чтобы не указывать пароль в тексте команды. В этом случае утилита запросит пароль в процессе выполнения команды.

    Пример:

    C:\Windows\system32\ktpass.exe -princ kwts-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\kwts-ldap.keytab

Keytab-файл будет создан. В случае изменения пароля учетной записи потребуется сгенерировать новый keytab-файл.

В начало