Vytvoření souboru keytab
26. dubna 2024
ID 206091
Jeden účet lze použít k ověřování u všech uzlů clusteru. Za tímto účelem musíte pro každý uzel vytvořit soubor keytab obsahující hlavní název služby (dále také označován jako „SPN“). Při vytváření souboru keytab budete muset použít atribut pro generování náhodného řetězce (salt), který upravuje vstup hashovací funkce.
K uložení vygenerovaného náhodného řetězce (salt) můžete použít jakýkoli vyhovující způsob, aby jej bylo možné použít později při přidávání nových SPN do souboru keytab.
Můžete také vytvořit samostatný uživatelský účet služby Active Directory pro každý uzel clusteru, který vyžaduje konfiguraci ověřování Kerberos.
Soubor keytab je vytvořen na serveru řadiče domény nebo v počítači se systémem Windows Server, který je součástí domény, pod účtem správce domény.
Postup vytvoření souboru keytab pomocí jednoho uživatelského účtu:
- V modulu snap-in Uživatelé a počítače služby Active Directory vytvořte uživatelský účet (například nazvaný
control-user
). - Pokud chcete používat šifrovací algoritmus AES256-SHA1, v modulu snap-in Uživatelé a počítače služby Active Directory:
- Otevřete vlastnosti vytvořeného účtu.
- Na kartě Účet zaškrtněte políčko Tento účet podporuje 256bitové šifrování algoritmem AES pro protokol Kerberos.
- Pomocí nástroje ktpass vytvořte soubor keytab pro uživatele
control-user
. To provedete zadáním následujícího příkazu v příkazovém řádku:C:\Windows\system32\ktpass.exe -princ HTTP/<úplný název domény (FQDN) řídicího uzlu>@<název sféry domény Active Directory velkými písmeny> -mapuser control-user@<název sféry domény Active Directory velkými písmeny> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <cesta k souboru>\<název souboru>.keytab
Nástroj vás při spuštění příkazu vyzve k zadání hesla uživatele
control-user
.Do vytvořeného souboru keytab se přidá SPN řídicího uzlu. Na obrazovce se zobrazí vygenerovaný náhodný řetězec (salt):
Heslo se hashuje pomocí náhodného řetězce "<hodnota hash>".
- U každého uzlu clusteru přidejte do souboru keytab položku SPN. To provedete následujícím příkazem:
C:\Windows\system32\ktpass.exe -princ HTTP/<úplný název domény (FQDN) uzlu>@<název domény Active Directory sféry velkými písmeny> -mapuser control-user@<název domény Active Directory sféry velkými písmeny > -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <cesta k dříve vytvořenému souboru a jeho název>.keytab -out <cesta a nový název>.keytab - setupn -setpass -rawsalt "<hodnota hash náhodného řetězce získaná při vytváření souboru keytab v kroku 3>"
Nástroj vás při spuštění příkazu vyzve k zadání hesla uživatele
control-user
.
Bude vytvořen soubor keytab. Tento soubor vytvoří všechny přidané SPN uzlů clusteru.
Příklad: Potřebujete například vytvořit soubor keytab obsahující SPN 3 uzlů: Chcete-li vytvořit soubor s názvem
Předpokládejme, že jste obdrželi náhodný řetězec Chcete-li přidat třetí SPN, zadejte následující příkaz:
Chcete-li přidat třetí SPN, zadejte následující příkaz:
Výsledkem bude vytvoření souboru s názvem |
Postup vytvoření souboru keytab pomocí samostatného uživatelského účtu pro každý uzel:
- V modulu snap-in Uživatelé a počítače služby Active Directory vytvořte samostatný uživatelský účet pro každý uzel clusteru (můžete například vytvořit uživatelské účty s názvem
control-user
,secondary1-user
,secondary2-user
atd.). - Pokud chcete používat šifrovací algoritmus AES256-SHA1, v modulu snap-in Uživatelé a počítače služby Active Directory:
- Otevřete vlastnosti vytvořeného účtu.
- Na kartě Účet zaškrtněte políčko Tento účet podporuje 256bitové šifrování algoritmem AES pro protokol Kerberos.
- Pomocí nástroje ktpass vytvořte soubor keytab pro uživatele
control-user
. To provedete zadáním následujícího příkazu v příkazovém řádku:C:\Windows\system32\ktpass.exe -princ HTTP/<úplný název domény (FQDN) řídicího uzlu>@<název sféry domény Active Directory velkými písmeny> -mapuser control-user@<název sféry domény Active Directory velkými písmeny> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <cesta k souboru>\<název souboru>.keytab
Nástroj vás při spuštění příkazu vyzve k zadání hesla uživatele
control-user
.Do vytvořeného souboru keytab se přidá SPN řídicího uzlu.
- U každého uzlu clusteru přidejte do souboru keytab položku SPN. To provedete následujícím příkazem:
C:\Windows\system32\ktpass.exe -princ HTTP/<úplný název domény (FQDN) uzlu>@<název domény Active Directory sféry velkými písmeny> -mapuser secondary1-user@<název domény Active Directory sféry velkými písmeny > -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <cesta k dříve vytvořenému souboru a jeho název>.keytab -out <cesta a nový název>.keytab
Nástroj vás při spuštění příkazu vyzve k zadání hesla uživatele
secondary1-user
.
Bude vytvořen soubor keytab. Tento soubor vytvoří všechny přidané SPN uzlů clusteru.
Příklad: Potřebujete například vytvořit soubor keytab obsahující SPN 3 uzlů: Chcete-li vytvořit soubor s názvem
Chcete-li přidat třetí SPN, zadejte následující příkaz:
Chcete-li přidat třetí SPN, zadejte následující příkaz:
Výsledkem bude vytvoření souboru s názvem |