建立 keytab 檔案

在網域管理員帳戶下，在網域控制器伺服器或作為網域一部分的 Windows Server® 電腦上建立 keytab 檔案。

要建立 keytab 檔案：

1. 在 Active Directory 使用者和電腦管理單元中，建立一個獨立的使用者帳戶（例如，名為 ksmg-ldap 的帳戶），用於將應用程式連線到 LDAP 伺服器。

   建立密碼時，選擇密碼永不過期選項。

2. 要使用 AES256-SHA1 加密演算法，請在 Active Directory 使用者和電腦管理單元的帳戶選項卡上已建立使用者帳戶的屬性中，選定此帳戶支援 Kerberos AES 256 位元加密核取方塊。
3. 使用 ktpass 工具為 ksmg-ldap 使用者建立 keytab 檔案。為此，請在命令列執行以下指令：

   C:\Windows\system32\ktpass.exe -princ ksmg-ldap@<大寫的 realm Active Directory 網域名稱> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <ksmg-ldap 使用者密碼> -out <檔案路徑>\<檔案名稱>.keytab

   如果您不想在命令文字中提供密碼，可以使用 * 字元作為 -pass 參數值。如果是這種情况，該工具會在執行命令時提示您輸入密碼。

   範例： C:\Windows\system32\ktpass.exe -princ ksmg-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\ksmg-ldap.keytab

將建立 keytab 檔案。如果要變更使用者帳戶密碼，則必須產生新的 keytab 檔案。

頁面頂端