keytab ファイルの作成

keytab ファイルは、ドメインコントローラーサーバー上で、またはドメインを構成する Windows Server コンピューター上で、ドメイン管理者アカウントのもとで作成されます。

keytab ファイルを作成するには：

1. Active Directory ユーザーとコンピューター スナップインで、本製品を LDAP サーバーに接続するために使用される個別のユーザーアカウントを作成します（例：kwts-ldap などの名前のアカウント）。

   パスワードの作成時には、［パスワードの有効期限なし］を選択します。

2. AES256-SHA1 暗号化アルゴリズムを使用する場合は、Active Directory ユーザーとコンピュータースナップインを使用して、［アカウント］タブで作成済みのユーザーアカウントのプロパティを開いてから、［このアカウントで Kerberos AES 256 ビット暗号化をサポートする］をオンにします。
3. ktpass ユーティリティを使用して、ユーザー kwts-ldap 用の keytab ファイルを作成します。この操作には、コマンドラインで以下のコマンドを実行します：

   C:\Windows\system32\ktpass.exe -princ kwts-ldap@<大文字の Active Directory レルムのドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <kwts-ldap のユーザーパスワード> -out <ファイルのパス>\<ファイル名>.keytab

   -pass パラメータの値として * 文字を使用すると、コマンドのテキストとしてパスワードを指定するのを回避することができます。この場合、コマンドの実行時にユーティリティによってパスワードの入力が要求されます。

   例： C:\Windows\system32\ktpass.exe -princ kwts-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\kwts-ldap.keytab

keytab ファイルが作成されます。ユーザーアカウントのパスワードを変更する場合、新しい keytab ファイルを生成する必要があります。

ページのトップに戻る