Пример создания keytab-файла для Kerberos аутентификации в Active Directory
Keytab-файл (от «key table», «таблица ключей») — способ хранения долговременных ключей для одного или нескольких принципалов Kerberos. Данный инструмент позволяет сервисам, работающим не на Windows, использовать функционал проверки подлинности Kerberos в инфраструктуре Active Directory.
Для создания keytab-файла в Active Directory выполните следующие действия:
- Создайте в Active Directory учетную запись с правами обычного пользователя. Она будет использоваться в качестве сервисной учетной записи при создании keytab. Задайте ей известный пароль, а также укажите параметры учетной записи «User cannot change password» (запретить смену пароля пользователем) и «Password never expires» (срок действия пароля не ограничен).
- Создайте keytab-файл при помощи утилиты командной строки ktpass. Данная утилита доступна в операционных системах Windows Server. В операционных системах рабочих станций может потребоваться установка дополнительных компонентов, чтобы утилита ktpass стала доступна.
Пример команды создания key-tab файла:
ktpass /mapuser proceset.test.keytab@TEST.INFOMAXIMUM.RU /princ
HTTP/proceset.test.infomaximum.ru@TEST.INFOMAXIMUM.RU /pass
Strong_Pa$$word /crypto All /ptype KRB5_NT_PRINCIPAL /out
c:\proceset.keytab.keytab
Где:
- после
/mapuserнеобходимо указать UPN (UserPrincipalName) созданной сервисной учетной записи. Имя домена обязательно должно быть в верхнем регистре - после
/princнеобходимо указать адрес сервера Proceset, который будет использоваться пользователи системы. Адрес указывается в таком же формате, как в примере с префиксом "HTTP/". Имя домена обязательно в верхнем регистре - после
/passнеобходимо указать пароль сервисной учетной записи - после
/outнеобходимо указать путь, по которому будет сохранен keytab-файл
Подробно ознакомиться с ktpass можно на официальном сайте.
Была ли статья полезна?
Да
Нет