创建 keytab 文件

使用域管理员账户，在域控制器服务器或属于该域的 Windows Server 计算机上创建 keytab 文件。

要创建 keytab 文件：

1. 在“Active Directory 用户和计算机”管理单元中，创建一个单独的用户账户，该账户将用于将应用程序连接到 LDAP 服务器（例如，名为 kwts-ldap 的账户）。

   创建密码时，必须选择“密码永不过期”选项。

2. 要使用 AES256-SHA1 加密算法，请使用 Active Directory 用户和计算机管理单元打开“账户”选项卡上已创建的用户账户的属性，然后选中“此账户支持 Kerberos AES 256 位加密”复选框。
3. 使用 ktpass 实用程序为 kwts-ldap 用户创建 keytab 文件。为此，请在命令行运行以下命令：

   C:\Windows\system32\ktpass.exe -princ kwts-ldap@<大写领域 Active Directory 域名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <kwts-ldap 用户密码> -out <文件路径>\<文件名>.keytab

   您可以使用 * 字符作为 -pass 参数的值，以避免在命令文本中指示密码。在这种情况下，当您运行命令时，实用程序会提示您输入密码。

   示例： C:\Windows\system32\ktpass.exe -princ kwts-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\kwts-ldap.keytab

将创建 keytab 文件。如果更改用户账户密码，则必须生成新的 keytab 文件。

页面顶端