ktpass to narzędzie w systemie Windows, które służy do konwertowania kont użytkowników i grup w Active Directory na format, który może być użyty przez aplikacje korzystające z Kerberos. Umożliwia to integrację aplikacji niebędących w domenie Active Directory z mechanizmem uwierzytelniania Kerberos, co jest kluczowe dla zapewnienia bezpieczeństwa i jednolitości w ramach organizacji.
ktpass -princ
| Parametr | Opis |
|---|---|
| -princ | Określa principal Kerberos, który ma być utworzony, na przykład 'HTTP/serwer.example.com’ |
| -mapuser | Umożliwia mapowanie konta użytkownika z Active Directory do principalu Kerberos. |
| -out | Ścieżka do pliku wyjściowego, w którym zostanie zapisany klucz. |
| -pass | Określa hasło dla principalu Kerberos. Może być pominięte, jeśli używa się opcji 'ktpass’ do generacji hasła. |
| -crypto | Typ algorytmu szyfrowania, np. 'RC4-HMAC’ lub 'AES256-SHA1′. |
| -ptype | Typ principalu, na przykład 'KRB5_NT_PRINCIPAL’. |
| -kvno | Numer wersji klucza (Key Version Number), który identyfikuje wersję klucza w Kerberos. |
| -domain | Nazwa domeny Active Directory. |
| -help | Wyświetla pomoc i informacje o użyciu narzędzia ktpass. |
ktpass -princ HTTP/serwer.example.com@EXAMPLE.COM -mapuser serwer -out C:\keys\serwer.keytab -pass mojeHaslo123 -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL
W powyższym przykładzie tworzymy klucz dla principalu 'HTTP/serwer.example.com’ w domenie 'EXAMPLE.COM’. Używamy konta użytkownika 'serwer’ do mapowania, a klucz zostanie zapisany w pliku 'C:\keys\serwer.keytab’. Hasło 'mojeHaslo123′ jest używane do zabezpieczenia klucza, a algorytm szyfrowania to 'AES256-SHA1′. Dzięki temu klucz będzie mógł być użyty przez aplikacje korzystające z Kerberos do uwierzytelniania w systemie Active Directory.