keytab ファイルの作成

すべてのノードの認証に同じユーザーアカウントを使用できます。各ノードの SPN（サービスプリンシパル名）を含む keytab ファイルを作成する必要があります。keytab ファイルの作成時には、ソルト（ハッシュ関数修飾子）を生成するための属性を使用する必要があります。

新しい SPN を keytab ファイルに順次追加するには、生成されたソルトを任意の方法で保存する必要があります。

Kerberos 認証を構成する各クラスターノードに、個別の Active Directory ユーザーアカウントを作成することもできます。

keytab ファイルを作成する前に

keytab ファイルを作成する前に、各 SPN が Active Directory に登録されていないことを確認してください。これを行うには、setspn -Q <SPN> コマンドを実行します。ここで、<SPN> は次のような構造になります：HTTP/<クラスターノードの全修飾ドメイン名（FQDN）>@<大文字の Active Directory レルムのドメイン名>。

コマンドは「No such SPN found」を返します。これは、当該 SPN が登録されていないことを意味します。この SPN がすでに登録されている場合は、keytab ファイルを作成する前に、アカウントから SPN の割り当てを解除するか、この SPN が割り当てられている Active Directory 内のアカウント自体を削除する必要があります。

keytab ファイルの作成

keytab ファイルは、ドメインコントローラーサーバー上で、またはドメインを構成する Windows Server コンピューター上で、ドメイン管理者アカウントのもとで作成されます。

1 つのユーザーアカウントを使用して keytab ファイルを作成するには：

1. Active Directory ユーザーとコンピューター スナップインで、ユーザーアカウント（例：control-user）を作成します。
2. AES256-SHA1 暗号化アルゴリズムを使用する場合は、Active Directory ユーザーとコンピュータースナップインで次の操作を実行します：
   1. 作成したアカウントのプロパティを開きます。
   2. ［アカウント］タブで、［このアカウントで Kerberos AES 256 ビット暗号化をサポートする］をオンにします。
3. ktpass ユーティリティを使用して、control-user 用の keytab ファイルを作成します。この操作には、コマンドラインで以下のコマンドを実行します：

   C:\Windows\system32\ktpass.exe -princ HTTP/<コントロールノードの完全修飾ドメイン名（FQDN）>@<大文字の Active Directory レルムのドメイン名> -mapuser control-user@<大文字の Active Dirｆectory レルムのドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * +dumpsalt -out <ファイルのパス>\<ファイル名>.keytab

   このユーティリティでは、コマンドの実行時に control-user パスワードの入力が要求されます。

   作成された keytab ファイルにコントロールロールのノードの SPN が追加されます。生成されたソルトが表示されます：「ソルト「<ハッシュ値>」でハッシュ化されたパスワード

4. クラスターのすべてのノードそれぞれについて、keytab ファイルに SPN エントリを追加します。この操作には、次のコマンドを実行します：

   C:\Windows\system32\ktpass.exe -princ HTTP/<ノードの完全修飾ドメイン名（FQDN）>@<大文字の Active Directory レルムのドメイン名> -mapuser control-user@<大文字の Active Directory レルムのドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <以前作成されたファイルのパスと名前>.keytab -out <パスと新しい名前>.keytab -setupn -setpass -rawsalt "<手順 3 で keytab ファイルを作成したときに取得したソルトのハッシュ値>"

   このユーティリティでは、コマンドの実行時に control-user パスワードの入力が要求されます。

keytab ファイルが作成されます。このファイルには、クラスターノードの SPN として追加した SPN がすべて含まれています。

各ノードに個別のユーザーアカウントを使用して keytab ファイルを作成するには：

1. Active Directory ユーザーとコンピューター スナップインで、各クラスターノードに個別のユーザーアカウントを作成します（例：control-user、secondary1-user、secondary2-user などの名前のユーザーアカウント）。
2. AES256-SHA1 暗号化アルゴリズムを使用する場合は、Active Directory ユーザーとコンピュータースナップインで次の操作を実行します：
   1. 作成したアカウントのプロパティを開きます。
   2. ［アカウント］タブで、［このアカウントで Kerberos AES 256 ビット暗号化をサポートする］をオンにします。
3. ktpass ユーティリティを使用して、control-user 用の keytab ファイルを作成します。この操作には、コマンドラインで以下のコマンドを実行します：

   C:\Windows\system32\ktpass.exe -princ HTTP/<コントロールノードの完全修飾ドメイン名（FQDN）>@<大文字の Active Directory レルムのドメイン名> -mapuser control-user@<大文字の Active Directory レルムのドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -out <ファイルのパス>\<ファイル名>.keytab

   このユーティリティでは、コマンドの実行時に control-user パスワードの入力が要求されます。

   作成された keytab ファイルにコントロールロールのノードの SPN が追加されます。

4. クラスターのすべてのノードそれぞれについて、keytab ファイルに SPN エントリを追加します。この操作には、次のコマンドを実行します：

   C:\Windows\system32\ktpass.exe -princ HTTP/<ノードの完全修飾ドメイン名（FQDN）>@<大文字の Active Directory レルムのドメイン名> -mapuser secondary1-user@<大文字の Active Directory レルムのドメイン名> -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -pass * -in <以前作成されたファイルのパスと名前>.keytab -out <パスと新しい名前>.keytab

   このユーティリティでは、コマンドの実行時に secondary1-user パスワードの入力が要求されます。

keytab ファイルが作成されます。このファイルには、クラスターノードの SPN として追加した SPN がすべて含まれています。

keytab ファイルを作成した後で

keytab ファイルを作成したら、各 SPN が登録され、関連するアカウントに割り当てられていることを確認します。これを行うには、setspn -Q <SPN> コマンドを実行します。ここで、<SPN> は次のような構造になります：HTTP/<クラスターノードの全修飾ドメイン名（FQDN）>@<大文字の Active Directory レルムのドメイン名>。

コマンドは「Existing SPN found」および SPN が割り当てられたアカウントを返します。

さらに、keytab ファイルを作成した後、関連するアカウントに割り当てられた SPN のリストを確認できます。これを行うには、setspn -L <アカウント> コマンドを実行します。ここで、<アカウント> は次のような構造になります：<ユーザー名>@<大文字の Active Directory レルムのドメイン名>。

keytab ファイルが 1 つのアカウントで作成された場合、コマンドは keytab ファイルが作成されたすべての SPN のリストを返します。keytab ファイルがノードごとに個別のアカウントで作成された場合、コマンドは特定のアカウントに割り当てられた 1 つの SPN を返します。