Создание keytab-файла для Kerberos-аутентификации в Active Directory
Для создания keytab-файла для Kerberos-аутентификации в Active Directory:
- Создайте сервисную учетную запись в AD и задайте ей известный пароль.
Можно создать учетную запись из графической консоли ADUC или с помощью PowerShell командлета New-ADUser (из модуля PowerShell для Active Directory):
New-ADUser -Name "web" -GivenName "nginx web app" -SamAccountName "web" -UserPrincipalName "web@test.com" -Path "OU=Services,OU=SPB,DC=test,DC=com" –AccountPassword (ConvertTo-SecureString “Bergam0ttapoK” -AsPlainText -force) -Enabled $true
- Включите для сервисной учетной записи опции «User cannot change password» и «Password never expires» через графическую консоль или PowerShell:
Get-ADUser web | Set-ADUser -PasswordNeverExpires:$True -CannotChangePassword:$true
- Утилита ktpass при создании keytab-файла автоматически привязывает имена сервиса (SPN) к учетной записи пользователя.
Предыдущая