====== KeyTab und SPN setzen ======
auf folgende Weise kann man einem Benutzer eine KeyTab für einen Proxyserviceaccount erzeugen:
**Alle Verschlüsselungsmethoden anbieten**
ktpass -princ HTTP/fqdn-des-proxys@DOM.LOC -mapuser DOM\proxyserviceaccount -pass Passwort -ptype KRB5_NT_PRINCIPAL -crypto All -out file.keytab
**Nur AES256 anbieten**
ktpass.exe -princ HTTP/fqdn-des-proxys@DOM.LOC -mapuser DOM\proxyserviceaccount -pass Passwort -ptype KRB5_NT_PRINCIPAL -crypto aes256-sha1 -out file.keytab
Damit die Zuweisung zum Proxy gelingt, muss zudem ein SPN im DNS-Server gesetzt werden:
setspn -a HTTP/fqdn-des-proxys DOM\mwg-kerb-user
**Legende**
* DOM.LOC Domäne als DNS-Name
* DOM Domäne als WINS-Eintrag
**Möglicherweise muss es in jeder Domäne einen entsprechenden Serviceaccount mit Keytab geben**
Quelle: [[https://community.mcafee.com/docs/DOC-2682]], [[https://community.mcafee.com/docs/DOC-4818]]
{{tag>[AD KeyTab SPN Proxy ServiceAccount]}}