Benutzer anlegen
In der Active Directory - Konsole (Start -> Programme -> Verwaltung -> Active Directory-Benutzer und -Computer):
Rechtsklick -> Neu -> Benutzer einen Benutzer hinzu.
- Dort müssen Sie nur einen beliebigen Vornamen und Benutzeranmeldenamen eingeben. (Im Beispiel: kerbdummy1)
- Sicherer Passwort
- Haken bei Kennwort läuft nie ab setzen
Benutzer einstellungen
Bevor Sie nun den Webserver einrichten, müssen Sie sicherstellen, dass der Verschlüsselungstyp des Active Directory Benutzers für den Webserver (Im Beispiel: kerbdummy1) auf "AES 256bit" eingestellt ist.
Öffnen Sie dazu nocheinmal die Active Directory - Konsole und wechseln in das Verzeichnis Users. Ein Doppelklick auf den jeweiligen Benutzer öffnet die Eigenschaften. Wechseln Sie dort auf die Registerkarte Konto und setzen den Haken "This Account supports Kerberos AES 256bit encryption" in den Kontooptionen.
Keyfile anlegen
Als nächstes muss eine Keyfile erzeugt werden, die dem Webserver ermöglicht sich über den eben erzeugten Benutzer zu authentifizieren. Dazu wird das Programm ktpass benötigt.
Öffnen Sie eine Eingeaufforderung als Administrator
Geben Sie dort diesen Befehl ein:
ktpass.exe /out C:\krbt.keytab /princ HTTP/debian.egotec.net@EGOTEC.NET /mapuser kerbdummy1@EGOTEC.NET /pass PASSWORD /crypto AES256-SHA1 /ptype KRB5_NT_PRINCIPAL
oder mit angepasstem mapuser
ktpass.exe /out C:\krbt.keytab /princ HTTP/debian.egotec.net@EGOTEC.NET /mapuser kerbdummy1-FULL_QUALIFIED_DOMAIN_NAME@EGOTEC.NET /pass PASSWORD /crypto AES256-SHA1 /ptype KRB5_NT_PRINCIPAL
Der Computername des Webservers "debian" und der Name der Domäne "egotec.net" sollten Sie entsprechend anpassen. Die Domäne muss immer groß geschrieben werden. Das Passwort "PASSWORD" können Sie frei wählen.
Nachdem Sie den Befehl abgeschickt haben, sollte in der Ausgabe stehen das die Datei C:\keyfile angelegt worden ist
Durch diesen Befehl wurde die Keyfile erzeugt. Diese ist in C:\krbt.keytab (Den Namen können Sie frei wählen) gespeichert. Kopieren Sie diese nun auf den Webserver. In den Ordner /etc/apache2/