Пример создания keytab-файла для Kerberos аутентификации в Active Directory

Keytab-файл (от «key table», «таблица ключей») — способ хранения долговременных ключей для одного или нескольких принципалов Kerberos. Данный инструмент позволяет сервисам, работающим не на Windows, использовать функционал проверки подлинности Kerberos в инфраструктуре Active Directory.

Для создания keytab-файла в Active Directory выполните следующие действия:

1. Создайте в Active Directory учетную запись с правами обычного пользователя. Она будет использоваться в качестве сервисной учетной записи при создании keytab. Задайте ей известный пароль, а также укажите параметры учетной записи «User cannot change password» (запретить смену пароля пользователем) и «Password never expires» (срок действия пароля не ограничен).
2. Создайте keytab-файл при помощи утилиты командной строки ktpass. Данная утилита доступна в операционных системах Windows Server. В операционных системах рабочих станций может потребоваться установка дополнительных компонентов, чтобы утилита ktpass стала доступна.

Пример команды создания key-tab файла:

ktpass /mapuser proceset.test.keytab@TEST.INFOMAXIMUM.RU /princ
HTTP/proceset.test.infomaximum.ru@TEST.INFOMAXIMUM.RU /pass
Strong_Pa$$word /crypto All /ptype KRB5_NT_PRINCIPAL /out
c:\proceset.keytab.keytab

Где:

• после /mapuser необходимо указать UPN (UserPrincipalName) созданной сервисной учетной записи. Имя домена обязательно должно быть в верхнем регистре
• после /princ необходимо указать адрес сервера Proceset, который будет использоваться пользователи системы. Адрес указывается в таком же формате, как в примере с префиксом "HTTP/". Имя домена обязательно в верхнем регистре
• после /pass необходимо указать пароль сервисной учетной записи
• после /out необходимо указать путь, по которому будет сохранен keytab-файл

Подробно ознакомиться с ktpass можно на официальном сайте.