Crear un archivo keytab

Puede utilizar la misma cuenta para autenticarse en todos los nodos de clúster. Para hacerlo, cree un archivo keytab que contenga los nombres de entidad de servicio (SPN) por cada uno de estos nodos. Al crear un archivo keytab, tendrá que usar un atributo para generar la sal, que modifica la entrada de la función de hash.

Debe usar cualquier método conveniente para guardar la "sal" generada de modo que pueda usarse más adelante cuando añada nuevos SPN al archivo keytab.

También puede crear una cuenta de usuario de Active Directory independiente para cada nodo de clúster que requiera la configuración de la autenticación Kerberos.

El archivo keytab se crea en el servidor del controlador del dominio o en un ordenador Windows Server que es parte del dominio, con la cuenta del administrador del dominio.

Para crear un archivo keytab con una cuenta de usuario, realice lo siguiente:

  1. En el complemento Usuarios y equipos de Active Directory, cree una cuenta de usuario (por ejemplo, con el nombre usuario-de-control).
  2. Para utilizar el algoritmo de cifrado AES256-SHA1, en el complemento Usuarios y ordenadores de Active Directory:
    1. Abra las propiedades de la cuenta creada.
    2. En la pestaña Cuenta, seleccione la casilla de verificación Esta cuenta admite el cifrado AES de 256 bits de Kerberos.
  3. Utilice la herramienta ktpass para crear un archivo keytab para usuario de control. Para hacerlo, ejecute el siguiente comando en la línea de comandos:

    C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo de control>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser control-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <ruta del archivo>\<nombre del archivo>.keytab

    La herramienta le pedirá que escriba la contraseña del usuario de control cuando ejecute el comando.

    El SPN del Nodo de control se añade al archivo keytab creado. La pantalla mostrará la sal generada: hash de contraseña con sal "<valor hash>".

  4. Por cada nodo de clúster, añada una entrada SPN al archivo keytab. Para hacerlo, ejecute el comando siguiente:

    C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser control-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <ruta y nombre del archivo creado anteriormente>.keytab -out <ruta y nombre nuevo>.keytab -setupn -setpass -rawsalt "<valor hash de la sal obtenido al crear el archivo keytab en el paso 3>"

    La herramienta le pedirá que escriba la contraseña del usuario de control cuando ejecute el comando.

Se creará el archivo keytab. Este archivo crea todos los SPN añadidos de los nodos de clúster.

Ejemplo:

Por ejemplo, debe crear un archivo keytab que contenga los SPN de 3 nodos: control-01.test.local, secondary-01.test.local y secondary-02.test.local.

Para crear un archivo llamado filename1.keytab que contenga el SPN del Nodo de control en la carpeta C:\keytabs\, ejecute el siguiente comando:

C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab

Supongamos que recibió la sal "TEST.LOCALHTTPcontrol-01.test.local".

Para añadir un SPN más, ejecute el siguiente comando:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename1.keytab -out C:\keytabs\filename2.keytab -setupn -setpass -rawsalt "TEST.LOCALHTTPcontrol-01.test.local"

Para añadir un tercer SPN, ejecute el siguiente comando:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-02.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename2.keytab -out C:\keytabs\filename3.keytab -setupn -setpass -rawsalt "TEST.LOCALHTTPcontrol-01.test.local"

Como resultado, se creará un archivo llamado filename3.keytab con los tres SPN añadidos.

Para crear un archivo keytab usando una cuenta de usuario independiente para cada nodo, realice lo siguiente:

  1. En el complemento Usuarios y ordenadores de Active Directory, cree una cuenta de usuario independiente para cada nodo de clúster (por ejemplo, puede crear cuentas de usuario con nombres como usuario-de-control, usuario-secundario1, usuario-secundario2, etc.).
  2. Para utilizar el algoritmo de cifrado AES256-SHA1, en el complemento Usuarios y ordenadores de Active Directory:
    1. Abra las propiedades de la cuenta creada.
    2. En la pestaña Cuenta, seleccione la casilla de verificación Esta cuenta admite el cifrado AES de 256 bits de Kerberos.
  3. Utilice la herramienta ktpass para crear un archivo keytab para usuario de control. Para hacerlo, ejecute el siguiente comando en la línea de comandos:

    C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo de control>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser control-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <ruta del archivo>\<nombre del archivo>.keytab

    La herramienta le pedirá que escriba la contraseña del usuario de control cuando ejecute el comando.

    El SPN del Nodo de control se añade al archivo keytab creado.

  4. Por cada nodo de clúster, añada una entrada SPN al archivo keytab. Para hacerlo, ejecute el comando siguiente:

    C:\Windows\system32\ktpass.exe -princ HTTP/<nombre de dominio completo (FQDN) del nodo>@<nombre de dominio kerberos de Active Directory en mayúsculas> -mapuser secondary1-user@<nombre de dominio kerberos de Active Directory en mayúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <ruta y nombre del archivo creado anteriormente>.keytab -out <ruta y nombre nuevo>.keytab

    La herramienta le pedirá que escriba la contraseña del usuario secundario1 cuando ejecute el comando.

Se creará el archivo keytab. Este archivo crea todos los SPN añadidos de los nodos de clúster.

Ejemplo:

Por ejemplo, debe crear un archivo keytab que contenga los SPN de 3 nodos: control-01.test.local, secondary-01.test.local y secondary-02.test.local.

Para crear un archivo llamado filename1.keytab que contenga el SPN del Nodo de control en la carpeta C:\keytabs\, ejecute el siguiente comando:

C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\keytabs\filename1.keytab

Para añadir un SPN más, ejecute el siguiente comando:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-01.test.local@TEST.LOCAL -mapuser secondary1-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename1.keytab -out C:\keytabs\filename2.keytab

Para añadir un tercer SPN, ejecute el siguiente comando:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-02.test.local@TEST.LOCAL -mapuser secondary2-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename2.keytab -out C:\keytabs\filename3.keytab

Como resultado, se creará un archivo llamado filename3.keytab con los tres SPN añadidos.

Inicio de página