Support

Support für Unternehmensanwendungen

Kaspersky Secure Mail Gateway

Authentifizierung mithilfe von Single Sign-On

Das Erstellen der keytab-Datei

Kaspersky Secure Mail Gateway
Нет результатов
Wissensdatenbank Onlinehilfe
FAQ Herunterladen Forum Support kontaktieren Tools zur Wiederherstellung

Das Erstellen der keytab-Datei

26. April 2024

ID 206091

Sie können ein Benutzerkonto für die Authentifizierung in allen Cluster-Knoten verwenden. Dazu ist es erforderlich, die keytab-Datei, die die Namen des Subjekt-Dienstes (im Weiteren auch "SPN") enthält, für jeden dieser Knoten zu erstellen. Bei der Erstellung der keytab-Datei muss ein Attribut für die Generierung von Salt (salt, Modifikator der Eingabe in eine Hashfunktion) benutzt werden.

Das generierte Salt muss auf eine beliebige Art und Weise gespeichert werden für das weitere Hinzufügen in die keytab-Datei von neuen SPN.

Sie können ebenso ein separates Active Directory-Benutzerkonto für jeden Cluster-Knoten erstellen, für den Sie die Kerberos-Authentifizierung konfigurieren wollen.

Die keytab-Datei wird auf dem Server des Domänencontrollers oder auf einem Computer unter Windows, der zur Domäne gehört, unter einem Benutzerkonto mit Rechten eines Domänenadministrators erstellt.

Um eine keytab-Datei zu erstellen, während ein Benutzerkonto benutzt wird:

  1. Erstellen Sie im Snap-In Active Directory Users and Computers ein Benutzerkonto (z. B. mit dem Namen control-user).
  2. Wenn Sie den Kryptoalgorithmus AES256-SHA1 verwenden wollen, so gehen Sie im Snap-In Active Directory Users and Computers wie folgt vor:
    1. Öffnen Sie die Eigenschaften des erstellten Benutzerkontos.
    2. Auf der Registerkarte Account werden das Kontrollkästchen This account supports Kerberos AES 256 bit encryption aktivieren.
  3. Erstellen Sie eine keytab-Datei für den Benutzer control-user mithilfe des Programms ktpass. Führen Sie dazu in der Befehlszeile den folgenden Befehl aus:

    C:\Windows\system32\ktpass.exe -princ HTTP/<vollständiger Domänenname (FQDN) des Verwaltungsknotens>@<realm Name der Active Directory Domäne in Großbuchstaben> -mapuser control-user@<realm Name der Active Directory Domäne in Großbuchstaben> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <Dateipfad>\<Dateiname>.keytab

    Das Dienstprogramm fragt während der Befehlausführung das Kennwort des Benutzers control-user ab.

    In der erstellten keytab-Datei wird der SPN des Verwaltungsknotens hinzugefügt. Auf dem Bildschirm wird das generierte Salt angezeigt: Hashing password with salt "<Hash-Wert>".

  4. Fügen Sie für jeden Cluster-Knoten in der keytab-Datei den Eintrag SPN hinzu. Führen Sie dazu den folgenden Befehl aus:

    C:\Windows\system32\ktpass.exe -princ HTTP/<vollständiger Domänenname (FQDN) des Knotes>@<realm Name der Active Directory Domäne in Großbuchstaben> -mapuser control-user@<realm Name der Active Directory Domäne in Großbuchstaben> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <Dateipfad und -name der zuvor erstellten Datei>.keytab -out <neue Dateipfad und Name>.keytab -setupn -setpass -rawsalt "<Hash-Wert des Salt, der bei der Erstellung der keytab-Datei bei Schritt 3 erhalten wurde>"

    Das Dienstprogramm fragt während der Befehlausführung das Kennwort des Benutzers control-user ab.

Keytab-Datei wird erstellt. In dieser Datei sind alle hinzugefügten SPN der Cluster-Knoten enthalten.

Beispiel:

Sie müssen z. B. eine keytab-Datei, die die SPN-Namen der 3 Knoten enthält, erstellen: control-01.test.local, secondary-01.test.local und secondary-02.test.local.

Um im Verzeichnis C:\keytabs\ eine Datei mit dem Namen filename1.keytab, die die SPN des Verwaltungsknotens enthält, zu erstellen, ist folgender Befehl auszuführen:

C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab

Angenommen, Sie haben das Salt "TEST.LOCALHTTPcontrol-01.test.local" erhalten.

Zum Hinzufügen eines weiteren SPN müssen Sie folgenden Befehl ausführen:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename1.keytab -out C:\keytabs\filename2.keytab -setupn -setpass -rawsalt "TEST.LOCALHTTPcontrol-01.test.local"

Beim Hinzufügen eines dritten SPN müssen Sie folgenden Befehl ausführen:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-02.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename2.keytab -out C:\keytabs\filename3.keytab -setupn -setpass -rawsalt "TEST.LOCALHTTPcontrol-01.test.local"

Daraufhin wird eine Datei mit dem Namen filename3.keytab erstellt, die alle drei hinzugefügten SPN enthält.

Um eine keytab-Datei zu erstellen, während für jeden Knoten je ein eigenes Benutzerkonto benutzt wird:

  1. Erstellen Sie im Snap-In Active Directory Users and Computers je ein separates Benutzerkonto für jeden Cluster-Knoten (z. B. mit den Namen control-user, secondary1-user, secondary2-user usw.).
  2. Wenn Sie den Kryptoalgorithmus AES256-SHA1 verwenden wollen, so gehen Sie im Snap-In Active Directory Users and Computers wie folgt vor:
    1. Öffnen Sie die Eigenschaften des erstellten Benutzerkontos.
    2. Auf der Registerkarte Account werden das Kontrollkästchen This account supports Kerberos AES 256 bit encryption aktivieren.
  3. Erstellen Sie eine keytab-Datei für den Benutzer control-user mithilfe des Programms ktpass. Führen Sie dazu in der Befehlszeile den folgenden Befehl aus:

    C:\Windows\system32\ktpass.exe -princ HTTP/<vollständiger Domänenname (FQDN) des Verwaltungsknotens>@<realm Name der Active Directory Domäne in Großbuchstaben> -mapuser control-user@<realm Name der Active Directory Domäne in Großbuchstaben> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <Dateipfad>\<Dateiname>.keytab

    Das Dienstprogramm fragt während der Befehlausführung das Kennwort des Benutzers control-user ab.

    In der erstellten keytab-Datei wird der SPN des Verwaltungsknotens hinzugefügt.

  4. Fügen Sie für jeden Cluster-Knoten in der keytab-Datei den Eintrag SPN hinzu. Führen Sie dazu den folgenden Befehl aus:

    C:\Windows\system32\ktpass.exe -princ HTTP/<vollständiger Domänenname (FQDN) des Knotens>@<realm Name der Active Directory Domäne in Großbuchstaben> -mapuser secondary1-user@<realm Name der Active Directory Domäne in Großbuchstaben> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <Dateipfad und -name der zuvor erstellen Datei>.keytab -out <Dateipfad und neuer Name>.keytab

    Das Dienstprogramm fragt während der Befehlausführung das Kennwort des Benutzers secondary1-user ab.

Keytab-Datei wird erstellt. In dieser Datei sind alle hinzugefügten SPN der Cluster-Knoten enthalten.

Beispiel:

Sie müssen z. B. eine keytab-Datei, die die SPN-Namen der 3 Knoten enthält, erstellen: control-01.test.local, secondary-01.test.local und secondary-02.test.local.

Um im Verzeichnis C:\keytabs\ eine Datei mit dem Namen filename1.keytab, die die SPN des Verwaltungsknotens enthält, zu erstellen, ist folgender Befehl auszuführen:

C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\keytabs\filename1.keytab

Zum Hinzufügen eines weiteren SPN müssen Sie folgenden Befehl ausführen:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-01.test.local@TEST.LOCAL -mapuser secondary1-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename1.keytab -out C:\keytabs\filename2.keytab

Beim Hinzufügen eines dritten SPN müssen Sie folgenden Befehl ausführen:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-02.test.local@TEST.LOCAL -mapuser secondary2-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename2.keytab -out C:\keytabs\filename3.keytab

Daraufhin wird eine Datei mit dem Namen filename3.keytab erstellt, die alle drei hinzugefügten SPN enthält.

Kaspersky Endpoint Security for Business Advanced:
Adaptive Sicherheit für Ihr Unternehmen
Web- und Gerätekontrolle. Datenverschlüsselung. Simples und benutzerfreundliches Sicherheitsmanagement über eine Konsole.
Premium Support (MSA):
Priorisierte Eskalation von Support-Anfragen
Direkte Telefonleitung für Support, dedizierte technische Experten und längere Erreichbarkeit bei geschäftskritischen Problemen. Wählen Sie einen Plan aus, senden Sie eine Anfrage und aktivieren den MSA-Vertrag.
War dieser Artikel hilfreich?
Helfen Sie uns, diesen Artikel zu verbessern. Wählen Sie den Grund für Ihre Bewertung:
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.
Danke für Ihr Feedback! Sie helfen uns, besser zu werden.