Benutzer-Werkzeuge

Webseiten-Werkzeuge


Seitenleiste

activedirectory:keytabundspn

KeyTab und SPN setzen

auf folgende Weise kann man einem Benutzer eine KeyTab für einen Proxyserviceaccount erzeugen:

Alle Verschlüsselungsmethoden anbieten

ktpass -princ HTTP/fqdn-des-proxys@DOM.LOC -mapuser DOM\proxyserviceaccount -pass Passwort -ptype KRB5_NT_PRINCIPAL -crypto All -out file.keytab

Nur AES256 anbieten

ktpass.exe -princ HTTP/fqdn-des-proxys@DOM.LOC -mapuser DOM\proxyserviceaccount -pass Passwort -ptype KRB5_NT_PRINCIPAL -crypto aes256-sha1 -out file.keytab

Damit die Zuweisung zum Proxy gelingt, muss zudem ein SPN im DNS-Server gesetzt werden:

setspn -a HTTP/fqdn-des-proxys DOM\mwg-kerb-user

Legende

  • DOM.LOC Domäne als DNS-Name
  • DOM Domäne als WINS-Eintrag

Möglicherweise muss es in jeder Domäne einen entsprechenden Serviceaccount mit Keytab geben

Quelle: https://community.mcafee.com/docs/DOC-2682, https://community.mcafee.com/docs/DOC-4818

activedirectory/keytabundspn.txt · Zuletzt geändert: 2016/07/06 12:33 von ronny