Создание keytab-файла для Kerberos-аутентификации в Active Directory

Для создания keytab-файла для Kerberos-аутентификации в Active Directory:

1. Создайте сервисную учетную запись в AD и задайте ей известный пароль. Можно создать учетную запись из графической консоли ADUC или с помощью PowerShell командлета New-ADUser (из модуля PowerShell для Active Directory):

   New-ADUser -Name 
   "web" -GivenName 
   "nginx web app" -SamAccountName 
   "web" -UserPrincipalName 
   "web@test.com" -Path 
   "OU=Services,OU=SPB,DC=test,DC=com" –AccountPassword 
   (ConvertTo-SecureString “Bergam0ttapoK” -AsPlainText -force) -Enabled 
   $true
   

2. Включите для сервисной учетной записи опции «User cannot change password» и «Password never expires» через графическую консоль или PowerShell:

   Get-ADUser web |  Set-ADUser -PasswordNeverExpires:$True -CannotChangePassword:$true
   

   
3. Утилита ktpass при создании keytab-файла автоматически привязывает имена сервиса (SPN) к учетной записи пользователя.