Das Erstellen der keytab-Datei

Die keytab-Datei wird auf dem Server des Domänencontrollers oder auf einem Computer unter Windows, der zur Domäne gehört, unter einem Benutzerkonto mit Rechten eines Domänenadministrators erstellt.

Um eine keytab-Datei anzulegen:

1. Erstellen Sie im Snap-In Active Directory Users and Computers ein separates Benutzerkonto, das für die Verbindung der App mit dem LDAP-Server (z. B., unter dem Namen ksmg-ldap) verwendet wird.

   Wählen Sie bei der Erstellung des Benutzers die Option Password never expires.

2. Um den Verschlüsselungsalgorithmus AES256-SHA1 nutzen zu können, aktivieren Sie im Snap-In Active Directory Users and Computers auf der Registerkarte Account in den Eigenschaften des erstellten Benutzerkontos das Kontrollkästchen This account supports Kerberos AES 256 bit encryption.
3. Erstellen Sie eine keytab-Datei für den Benutzer ksmg-ldap mithilfe des Programms ktpass. Führen Sie dazu in der Befehlszeile den folgenden Befehl aus:

   C:\Windows\system32\ktpass.exe -princ ksmg-ldap@<realm Domänenname Active Directory in Großbuchstaben> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <Benutzerkennwort ksmg-ldap> -out <Dateipfad>\<Dateiname>.keytab

   Sie können das Symbol "*" als Wert für den Parameter "-pass" verwenden, um in dem Befehl kein Kennwort angeben zu müssen. In diesem Fall wird das Programm das Kennwort während der Befehlausführung anfordern.

   Beispiel: C:\Windows\system32\ktpass.exe -princ ksmg-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\ksmg-ldap.keytab

Keytab-Datei wird erstellt. Im Falle einer Änderung des Kennworts für den Account muss eine neue keytab-Datei generiert werden.