建立 keytab 檔案
建立 keytab 檔案
2023年12月13日
ID 233047
使用網域管理員帳戶,在網域控制器伺服器或屬於該網域的 Windows Server 電腦上建立 keytab 檔案。
要建立 keytab 檔案:
- 在“Active Directory 使用者和電腦”管理單元中,建立一個獨立的使用者帳戶,該帳戶將用於將應用程式連線至 LDAP 伺服器(例如,名為
kwts-ldap
的帳戶)。建立密碼時,必須選擇“密碼永不過期”選項。
- 要使用 AES256-SHA1 加密演算法,請使用 Active Directory 使用者和電腦管理單元開啟“帳戶”索引標籤上已建立的使用者帳戶的屬性,然後選取“此帳戶支援 Kerberos AES 256 位元加密”核取方塊。
- 使用 ktpass 公用程式為
kwts-ldap
使用者建立 keytab 檔案。為此,請在命令列執行以下指令:C:\Windows\system32\ktpass.exe -princ kwts-ldap@<大寫領域 Active Directory 網域名稱> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <kwts-ldap 使用者密碼> -out <檔案路徑>\<檔案名稱>.keytab
您可以使用 * 字元作為 -pass 參數的值,以避免在命令文字中指示密碼。在這種情況下,當您執行命令時,公用程式會提示您輸入密碼。
示例:
C:\Windows\system32\ktpass.exe -princ kwts-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\kwts-ldap.keytab
將建立 keytab 檔案。如果變更使用者帳戶密碼,則必須產生新的 keytab 檔案。
此文章對您有幫助嗎?
我們可以如何改善?
感謝您的意見回饋!您正協助我們改善。
感謝您的意見回饋!您正協助我們改善。