keytab ファイルの作成

2024年4月1日

ID 206091

すべてのクラスタノードでの認証に同じアカウントを使用できます。各ノードの SPN(サービスプリンシパル名)を含む keytab ファイルを作成する必要があります。keytab ファイルを作成する時は、ハッシュ関数の入力を変更するソルトを生成するための属性を使用する必要があります。

後で keytab ファイルに新しい SPN を追加する時に使用できるように、任意の方法で、生成された「ソルト」を保存する必要があります。

Kerberos 認証の設定が必要なクラスタノードごとに個別の Active Directory ユーザーアカウントを作成することもできます。

ドメインコントローラーサーバーまたはドメインの一部である Windows Server コンピューターに、ドメイン管理者アカウントで keytab ファイルが作成されます。

1 つのユーザーアカウントを使用して keytab ファイルを作成するには:

  1. Active Directory ユーザーとコンピューター]スナップインで、ユーザーアカウント(たとえば、control-user)を作成します。
  2. AES256-SHA1 暗号化アルゴリズムを使用する場合は、「Active Directory ユーザーとコンピューター」スナップインで次の操作を実行します:
    1. 作成したアカウントのプロパティを開きます。
    2. アカウント]タブで、[このアカウントで Kerberos AES 256 ビット暗号化をサポートする]をオンにします。
  3. ktpass ツールを使用して、control-user 用の keytab ファイルを作成します。この操作には、コマンドラインで以下のコマンドを実行します:

    C:\Windows\system32\ktpass.exe -princ HTTP/<コントロールノードの完全修飾ドメイン名(FQDN)>@<大文字の Active Directory ドメイン名> -mapuser control-user@<大文字の Active Directory ドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <ファイルのパス>\<ファイル名>.keytab

    コマンドを実行すると、ツールから control-user パスワードの入力を要求されます。

    作成された keytab ファイルにコントロールノードの SPN が追加されます。画面には生成されたソルト:salt "<ハッシュ値>" とハッシュパスワードが表示されます。

  4. 各クラスタノードについて、keytab ファイルに SPN エントリを追加します。この操作には、次のコマンドを実行します:

    C:\Windows\system32\ktpass.exe -princ HTTP/<ノードの完全修飾ドメイン名(FQDN)>@<大文字の Active Directory ドメイン名> -mapuser control-user@<大文字の Active Directory ドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <以前に作成したファイルのパスと名前>.keytab -out <パスと新しい名前>.keytab -setupn -setpass -rawsalt "<手順 3 で keytab ファイルを作成する時に取得したソルトハッシュ値>"

    コマンドを実行すると、ツールから control-user パスワードの入力を要求されます。

keytab ファイルが作成されます。このファイルにより、追加されたクラスタノードの SPN がすべて作成されます。

例:

たとえば、control-01.test.localsecondary-01.test.localsecondary-02.test.local の 3 つのノードの SPN を含む keytab ファイルを作成する必要があります。

フォルダー C:\keytabs\ にコントロールノードの SPN を含む「filename1.keytab 」という名前のファイルを作成するには、次のコマンドを実行します:

C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out C:\keytabs\filename1.keytab

ソルト "TEST.LOCALHTTPcontrol-01.test.local" を受信したと仮定します。

SPN をもう 1 つ追加するには、次のコマンドを実行します:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename1.keytab -out C:\keytabs\filename2.keytab -setupn -setpass -rawsalt "TEST.LOCALHTTPcontrol-01.test.local"

3 番目の SPN を追加するには、次のコマンドを実行します:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-02.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename2.keytab -out C:\keytabs\filename3.keytab -setupn -setpass -rawsalt "TEST.LOCALHTTPcontrol-01.test.local"

これにより、「filename3.keytab」という名前のファイルが作成され、このファイルには追加した 3 つの SPN がすべて含まれています。

ノードごとに個別のユーザーアカウントを使用して keytab ファイルを作成するには:

  1. ドメインコントローラーサーバーの[Active Directory ユーザーとコンピューター]スナップインで、クラスタノードごとに個別のユーザーアカウントを作成します(たとえば、control-usersecondary1-usersecondary2-user などの名前のユーザーアカウントを作成できます)。
  2. AES256-SHA1 暗号化アルゴリズムを使用する場合は、「Active Directory ユーザーとコンピューター」スナップインで次の操作を実行します:
    1. 作成したアカウントのプロパティを開きます。
    2. アカウント]タブで、[このアカウントで Kerberos AES 256 ビット暗号化をサポートする]をオンにします。
  3. ktpass ツールを使用して、control-user 用の keytab ファイルを作成します。この操作には、コマンドラインで以下のコマンドを実行します:

    C:\Windows\system32\ktpass.exe -princ HTTP/<コントロールノードの完全修飾ドメイン名(FQDN)>@<大文字の Active Directory ドメイン名> -mapuser control-user@<大文字の Active Directory ドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <ファイルのパス>\<ファイル名>.keytab

    コマンドを実行すると、ツールから control-user パスワードの入力を要求されます。

    作成された keytab ファイルにコントロールノードの SPN が追加されます。

  4. 各クラスタノードについて、keytab ファイルに SPN エントリを追加します。この操作には、次のコマンドを実行します:

    C:\Windows\system32\ktpass.exe -princ HTTP/<ノードの完全修飾ドメイン名(FQDN)>@<大文字の Active Directory ドメイン名> -mapuser secondary1-user@<大文字の Active Directory ドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <以前に作成したファイルのパスと名前>.keytab -out <パスと新しい名前>.keytab

    コマンドを実行すると、ツールから secondary1-user パスワードの入力を要求されます。

keytab ファイルが作成されます。このファイルにより、追加されたクラスタノードの SPN がすべて作成されます。

例:

たとえば、control-01.test.localsecondary-01.test.localsecondary-02.test.local の 3 つのノードの SPN を含む keytab ファイルを作成する必要があります。

フォルダー C:\keytabs\ にコントロールノードの SPN を含む「filename1.keytab 」という名前のファイルを作成するには、次のコマンドを実行します:

C:\Windows\system32\ktpass.exe -princ HTTP/control-01.test.local@TEST.LOCAL -mapuser control-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out C:\keytabs\filename1.keytab

SPN をもう 1 つ追加するには、次のコマンドを実行します:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-01.test.local@TEST.LOCAL -mapuser secondary1-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename1.keytab -out C:\keytabs\filename2.keytab

3 番目の SPN を追加するには、次のコマンドを実行します:

C:\Windows\system32\ktpass.exe -princ HTTP/secondary-02.test.local@TEST.LOCAL -mapuser secondary2-user@TEST.LOCAL -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in C:\keytabs\filename2.keytab -out C:\keytabs\filename3.keytab

これにより、「filename3.keytab」という名前のファイルが作成され、このファイルには追加した 3 つの SPN がすべて含まれています。

この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。