Criar um arquivo keytab
23 de maio de 2024
ID 226823
O arquivo keytab será criado no servidor do controlador de domínio ou em um computador do Windows Server que faz parte do domínio, sob a conta de administrador do domínio.
Para criar um arquivo keytab:
- No snap-in de Usuários e Computadores do Active Directory, crie uma conta de usuário separada que será usada para conectar o aplicativo a um servidor LDAP (por exemplo, uma conta chamada
ksmg-ldap
).Ao criar a senha, selecione a opção A senha nunca expira.
- Para usar o algoritmo de criptografia AES256-SHA1, no snap-in de Usuários e Computadores do Active Directory, nas propriedades da conta de usuário criada na guia Conta, marque a caixa de seleção Esta conta oferece suporte à criptografia Kerberos AES de 256 bits.
- Use a ferramenta ktpass para criar um arquivo keytab para o usuário
ksmg-ldap
. Para isso, execute o seguinte comando na linha de comando:C:\Windows\system32\ktpass.exe -princ ksmg-ldap@<nome de domínio do Active Directory realm em letras maiúsculas> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass <senha do usuário ksmg-ldap> -out <caminho para o arquivo>\<nome do arquivo>.keytab
É possível usar o caractere * para o valor do parâmetro -pass se não quiser fornecer a senha no texto do comando. Neste caso, a ferramenta solicitará a senha ao executar o comando.
Exemplo:
C:\Windows\system32\ ktpass.exe -princ ksmg-ldap@COMPANY.COM -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\Keytabs\ksmg-ldap.keytab
O arquivo keytab será criado. Caso queira alterar a senha da conta do usuário, será necessário gerar um novo arquivo keytab.