keytab ファイルの作成
2024年4月16日
ID 206091
すべてのクラスタノードでの認証に同じアカウントを使用できます。各ノードの SPN(サービスプリンシパル名)を含む keytab ファイルを作成する必要があります。keytab ファイルを作成する時は、ハッシュ関数の入力を変更するソルトを生成するための属性を使用する必要があります。
後で keytab ファイルに新しい SPN を追加する時に使用できるように、任意の方法で、生成された「ソルト」を保存する必要があります。
Kerberos 認証の設定が必要なクラスタノードごとに個別の Active Directory ユーザーアカウントを作成することもできます。
ドメインコントローラーサーバーまたはドメインの一部である Windows Server コンピューターに、ドメイン管理者アカウントで keytab ファイルが作成されます。
1 つのユーザーアカウントを使用して keytab ファイルを作成するには:
- [Active Directory ユーザーとコンピューター]スナップインで、ユーザーアカウント(たとえば、
control-user
)を作成します。 - AES256-SHA1 暗号化アルゴリズムを使用する場合は、「Active Directory ユーザーとコンピューター」スナップインで次の操作を実行します:
- 作成したアカウントのプロパティを開きます。
- [アカウント]タブで、[このアカウントで Kerberos AES 256 ビット暗号化をサポートする]をオンにします。
- ktpass ツールを使用して、
control-user
用の keytab ファイルを作成します。この操作には、コマンドラインで以下のコマンドを実行します:C:\Windows\system32\ktpass.exe -princ HTTP/<コントロールノードの完全修飾ドメイン名(FQDN)>@<大文字の Active Directory ドメイン名> -mapuser control-user@<大文字の Active Directory ドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <ファイルのパス>\<ファイル名>.keytab
コマンドを実行すると、ツールから
control-user
パスワードの入力を要求されます。作成された keytab ファイルにコントロールノードの SPN が追加されます。画面には生成されたソルト:
salt "<ハッシュ値>" とハッシュパスワード
が表示されます。 - 各クラスタノードについて、keytab ファイルに SPN エントリを追加します。この操作には、次のコマンドを実行します:
C:\Windows\system32\ktpass.exe -princ HTTP/<ノードの完全修飾ドメイン名(FQDN)>@<大文字の Active Directory ドメイン名> -mapuser control-user@<大文字の Active Directory ドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <以前に作成したファイルのパスと名前>.keytab -out <パスと新しい名前>.keytab -setupn -setpass -rawsalt "<手順 3 で keytab ファイルを作成する時に取得したソルトハッシュ値>"
コマンドを実行すると、ツールから
control-user
パスワードの入力を要求されます。
keytab ファイルが作成されます。このファイルにより、追加されたクラスタノードの SPN がすべて作成されます。
例: たとえば、 フォルダー C:\keytabs\ にコントロールノードの SPN を含む「
ソルト SPN をもう 1 つ追加するには、次のコマンドを実行します:
3 番目の SPN を追加するには、次のコマンドを実行します:
これにより、「 |
ノードごとに個別のユーザーアカウントを使用して keytab ファイルを作成するには:
- ドメインコントローラーサーバーの[Active Directory ユーザーとコンピューター]スナップインで、クラスタノードごとに個別のユーザーアカウントを作成します(たとえば、
control-user
、secondary1-user
、secondary2-user
などの名前のユーザーアカウントを作成できます)。 - AES256-SHA1 暗号化アルゴリズムを使用する場合は、「Active Directory ユーザーとコンピューター」スナップインで次の操作を実行します:
- 作成したアカウントのプロパティを開きます。
- [アカウント]タブで、[このアカウントで Kerberos AES 256 ビット暗号化をサポートする]をオンにします。
- ktpass ツールを使用して、
control-user
用の keytab ファイルを作成します。この操作には、コマンドラインで以下のコマンドを実行します:C:\Windows\system32\ktpass.exe -princ HTTP/<コントロールノードの完全修飾ドメイン名(FQDN)>@<大文字の Active Directory ドメイン名> -mapuser control-user@<大文字の Active Directory ドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <ファイルのパス>\<ファイル名>.keytab
コマンドを実行すると、ツールから
control-user
パスワードの入力を要求されます。作成された keytab ファイルにコントロールノードの SPN が追加されます。
- 各クラスタノードについて、keytab ファイルに SPN エントリを追加します。この操作には、次のコマンドを実行します:
C:\Windows\system32\ktpass.exe -princ HTTP/<ノードの完全修飾ドメイン名(FQDN)>@<大文字の Active Directory ドメイン名> -mapuser secondary1-user@<大文字の Active Directory ドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <以前に作成したファイルのパスと名前>.keytab -out <パスと新しい名前>.keytab
コマンドを実行すると、ツールから
secondary1-user
パスワードの入力を要求されます。
keytab ファイルが作成されます。このファイルにより、追加されたクラスタノードの SPN がすべて作成されます。
例: たとえば、 フォルダー C:\keytabs\ にコントロールノードの SPN を含む「
SPN をもう 1 つ追加するには、次のコマンドを実行します:
3 番目の SPN を追加するには、次のコマンドを実行します:
これにより、「 |