Das Erstellen der keytab-Datei
4. April 2024
ID 226823
Erstellt wird die keytab-Datei entweder auf dem Server des Domänen-Controllers oder unter einem Benutzerkonto mit den Domänenadministrator-Berechtigungen auf einem Computer, auf dem Windows-Server installiert ist und der Teil der Domäne ist.
So erstellen Sie eine keytab-Datei:
- Erstellen Sie im Snap-In Active Directory Users and Computers ein separates Benutzerkonto, das für die Verbindung der App mit dem LDAP-Server (z. B., unter dem Namen
ksmg-ldap
) verwendet wird.Wählen Sie bei der Erstellung des Benutzers die Option Password never expires aus.
- Um den Verschlüsselungsalgorithmus AES256-SHA1 nutzen zu können, aktivieren Sie im Snap-In Active Directory Users and Computers auf der Registerkarte Account in den Eigenschaften des erstellten Benutzerkontos das Kontrollkästchen This account supports Kerberos AES 256 bit encryption.
- Erstellen Sie eine keytab-Datei für den Benutzer
ksmg-ldap
mithilfe des Programms ktpass. Führen Sie dazu in der Befehlszeile den folgenden Befehl aus:C:\Windows\system32\ktpass.exe -princ ksmg-ldap@<realm Domänenname Active Directory in Großbuchstaben> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <Benutzerkennwort ksmg-ldap> -out <Dateipfad>\<Dateiname>.keytab
Sie können das Symbol * als Wert für den Parameter -pass benutzen, um kein Passwort im Befehltext angeben zu müssen. In diesem Fall wird das Programm das Passwort während der Befehlsausführung anfordern.
Beispiel:
C:\Windows\system32\ktpass.exe -princ ksmg-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\ksmg-ldap.keytab
Keytab-Datei wird erstellt. Im Falle einer Änderung des Kennworts für den Account muss eine neue keytab-Datei generiert werden.