Criação de um arquivo keytab

O arquivo keytab é criado no servidor do controlador de domínio ou em um computador com Windows Server que faça parte do domínio, em uma conta de administrador de domínio.

Para criar um arquivo keytab:

1. No snap-in Usuários e Computadores do Active Directory, crie uma conta de usuário separada que será usada para conectar o aplicativo a um servidor LDAP (por exemplo, uma conta denominada kwts-ldap).

   Ao criar uma senha, você deve selecionar a opção Senha nunca expira.

2. Para empregar o algoritmo de criptografia AES256-SHA1, use o snap-in Active Directory Users and Computers para abrir as propriedades da conta de usuário criada na guia Account, e marque a caixa de seleção This account supports Kerberos AES 256 bit encryption.
3. Use o utilitário ktpass para criar um arquivo keytab para o usuário kwts-ldap. Para fazer isso, execute o seguinte comando na linha de comando:

   C:\Windows\system32\ktpass.exe -princ kwts-ldap@<nome do domínio do Active Directory em maiúsculas do realm> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <senha do usuário kwts-ldap> -out <caminho para arquivo>\<nome do arquivo>.keytab

   Você pode usar o caractere * como o valor do parâmetro -pass, para evitar a indicação da senha no texto do comando. Neste caso, o utilitário solicitará a senha quando você executar o comando.

   Exemplo: C:\Windows\system32\ktpass.exe -princ kwts-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\kwts-ldap.keytab

O arquivo keytab será criado. Se você alterar a senha da conta de usuário, você terá que gerar um novo arquivo keytab.

Topo da página