Guide de sécurité

10.5.1
- 10.5.2
- 10.5
- 10.4.1

Précédent Suivant

Générer les fichiers Keytab au niveau du nœud

Lorsque vous exécutez Ktpass pour générer les fichiers Keytab au niveau du nœud, associez chaque compte utilisateur de principal Kerberos au SPN correspondant dans Active Directory.

Le tableau suivant montre l'association entre les comptes utilisateurs de principaux Kerberos et les SPN affichés dans l'exemple de fichier SPNKeytabFormat :

Compte utilisateur	Type de Keytab	Nom de principal du service
nodeuser01	NODE_SPN	isp/node01/InfaDomain/COMPANY.COM
httpuser01	NODE_HTTP_SPN	HTTP/US001DEV.company.com@COMPANY.COM
nodeuser02	NODE_SPN	isp/node02/InfaDomain/COMPANY.COM
httpuser02	NODE_HTTP_SPN	HTTP/US005DEV.company.com@COMPANY.COM

Créez également un fichier Keytab pour le compte utilisateur de liaison LDAP qui est utilisé pour accéder et rechercher dans Active Directory pendant la synchronisation LDAP.

Créez un fichier Keytab pour le compte utilisateur de principal Kerberos que vous avez créé pour chaque nœud dans Active Directory.

Copiez le nom du fichier Keytab depuis la colonne

KEY_TAB_NAME

dans le fichier SPNKeytabFormat.txt. Copiez le nom de principal du service de la colonne

SPN

dans le fichier SPNKeytabFormat.txt.

L'exemple suivant crée un fichier keytab pour un compte utilisateur de principal Kerberos nommé nodeuser0 :

ktpass.exe -out node01.keytab -princ isp/node01/InfaDomain/COMPANY.COM -mapuser nodeuser01 -crypto all -ptype KRB5_NT_PRINCIPAL

Créez un fichier keytab pour chaque compte utilisateur de principal Kerberos de processus HTTP que vous avez créé dans Active Directory.

Si le domaine utilise l'authentification Kerberos inter-domaines, le compte utilisateur du principal peut exister dans tout domaine Kerberos utilisé.

Copiez le nom du fichier keytab de la colonne

KEY_TAB_NAME

dans le fichier SPNKeytabFormat.txt. Copiez le nom de principal du service de la colonne

SPN

dans le fichier SPNKeytabFormat.txt.

L'exemple suivant crée un fichier keytab pour un compte utilisateur de principal Kerberos nommé httpuser01 :

ktpass.exe -out webapp_http.keytab -princ HTTP/US001DEV.company.com@COMPANY.COM -mapuser httpuser01 -crypto all -ptype KRB5_NT_PRINCIPAL

Créez un fichier keytab pour le compte utilisateur de liaison LDAP qui est utilisé pour accéder et rechercher dans Active Directory pendant la synchronisation LDAP.

Structurez la valeur de l'option -princ en tant que <principal name>@<KERBEROS REALM>. Incluez le nom de la configuration LDAP pour le serveur Active Directory dans le nom de fichier keytab. Structurez celui-ci comme suit : <Active Directory LDAP configuration_name>.keytab.

L'exemple suivant crée un fichier Keytab pour un compte utilisateur de principal de service nommé Idapuser :

ktpass.exe -out ActiveDirectoryServer1.keytab -princ ldapuser@COMPANY.COM -mapuser ldapuser -crypto all -ptype KRB5_NT_PRINCIPAL

Générer les fichiers Keytab

Télécharger le guide

Envoyer les commentaires

Communities

Knowledge Base

Portail du succès

Rename Saved Search

Table des matières

Guide de sécurité

Guide de sécurité

Générer les fichiers Keytab au niveau du nœud

Générer les fichiers Keytab au niveau du nœud