====== KeyTab und SPN setzen ======

auf folgende Weise kann man einem Benutzer eine KeyTab für einen Proxyserviceaccount erzeugen:

**Alle Verschlüsselungsmethoden anbieten**
<code>ktpass -princ HTTP/fqdn-des-proxys@DOM.LOC -mapuser DOM\proxyserviceaccount -pass Passwort -ptype KRB5_NT_PRINCIPAL -crypto All -out file.keytab
</code>

**Nur AES256 anbieten**
<code>
ktpass.exe -princ HTTP/fqdn-des-proxys@DOM.LOC -mapuser DOM\proxyserviceaccount -pass Passwort -ptype KRB5_NT_PRINCIPAL -crypto aes256-sha1 -out file.keytab
</code>

Damit die Zuweisung zum Proxy gelingt, muss zudem ein SPN im DNS-Server gesetzt werden:

<code>setspn -a HTTP/fqdn-des-proxys DOM\mwg-kerb-user</code>

**Legende**
  * DOM.LOC Domäne als DNS-Name
  * DOM Domäne als WINS-Eintrag

**Möglicherweise muss es in jeder Domäne einen entsprechenden Serviceaccount mit Keytab geben**

Quelle: [[https://community.mcafee.com/docs/DOC-2682]], [[https://community.mcafee.com/docs/DOC-4818]]

{{tag>[AD KeyTab SPN Proxy ServiceAccount]}}