La creación de un archivo keytab

El archivo keytab se crea en el servidor del controlador de dominio o en un equipo con Windows Server que forma parte del dominio, bajo una cuenta de administrador de dominio.

Para crear un archivo keytab:

1. En el complemento Usuarios y equipos de Active Directory, cree una cuenta de usuario independiente que se utilizará para conectar la aplicación con un servidor LDAP (por ejemplo, una cuenta llamada kwts-ldap).

   Al crear una contraseña, debe seleccionar la opción La contraseña no caduca nunca.

2. Si desea emplear el algoritmo de cifrado AES256-SHA1, utilice el complemento de Usuarios y equipos de Active Directory para abrir las propiedades de la cuenta de usuario creada en la pestaña Cuenta y, a continuación, seleccione la casilla de verificación Esta cuenta admite el cifrado AES de 256 bits de Kerberos.
3. Utilice la herramienta ktpass para crear un archivo keytab para el usuario kwts-ldap. Para hacerlo, ejecute el siguiente comando en la línea de comandos:

   C:\Windows\system32\ktpass.exe -princ kwts-ldap@<nombre de dominio de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <contraseña de usuario de kwts-ldap> -out <ruta al archivo>\<nombre de archivo>.keytab

   Puede utilizar el carácter * como valor del parámetro -pass para no indicar la contraseña en el texto del comando. En este caso, la herramienta le pide la contraseña cuando ejecuta el comando.

   Ejemplo: C:\Windows\system32\ktpass.exe -princ kwts-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\kwts-ldap.keytab

Se creará el archivo keytab. Si cambia la contraseña de la cuenta de usuario, deberá generar un nuevo archivo keytab.