activedirectory:keytabundspn
KeyTab und SPN setzen
auf folgende Weise kann man einem Benutzer eine KeyTab für einen Proxyserviceaccount erzeugen:
Alle Verschlüsselungsmethoden anbieten
ktpass -princ HTTP/fqdn-des-proxys@DOM.LOC -mapuser DOM\proxyserviceaccount -pass Passwort -ptype KRB5_NT_PRINCIPAL -crypto All -out file.keytab
Nur AES256 anbieten
ktpass.exe -princ HTTP/fqdn-des-proxys@DOM.LOC -mapuser DOM\proxyserviceaccount -pass Passwort -ptype KRB5_NT_PRINCIPAL -crypto aes256-sha1 -out file.keytab
Damit die Zuweisung zum Proxy gelingt, muss zudem ein SPN im DNS-Server gesetzt werden:
setspn -a HTTP/fqdn-des-proxys DOM\mwg-kerb-user
Legende
- DOM.LOC Domäne als DNS-Name
- DOM Domäne als WINS-Eintrag
Möglicherweise muss es in jeder Domäne einen entsprechenden Serviceaccount mit Keytab geben
Quelle: https://community.mcafee.com/docs/DOC-2682, https://community.mcafee.com/docs/DOC-4818
activedirectory/keytabundspn.txt · Zuletzt geändert: 2016/07/06 12:33 von ronny