Entra ID Directory Services

Keytab-Dateien verwenden

Keytab-Dateien mit Entra ID Directory Services verwenden

Mit den Entra ID Domain Services können in der Cloud Active Directory Domänendienste bereitgestellt werden, ohne Domain Controller aufsetzen zu müssen. Die Entra ID Domain Services umfassen u.A. NTLM-Authentifizierungen, LDAP-Abfragen, klassische Domänenbeitritte und Weiteres. Somit lassen sich Anwendungen in der Cloud ausführen, welche keine modernen Authentifizierungsverfahren unterstützen und bei denen keine Zugriffe auf das OnPremises Active Directory gewünscht oder möglich sind.

 

Möchte man mit Kerberos Single-Sign-On (SSO) für einen Dienst nutzen, welcher auf einem Server betrieben wird, welcher nicht Teil einer klassichen Active Directory Domäne ist, können dafür Keytab-Dateien verwendet werden. In einer Keytab-Datei werden die Anmeldeinformationen für Dienste in eine verschlüsselte Datei exportiert. Diese Datei kann von dem Dienst dann zur Authentifizierung am Active Directory, bzw. dem Key Distribution Center (KDC), verwendet werden.

 

Die Verwendung solcher Keytab-Dateien kann auch für die Entra ID Domain Services nützlich sein, z.B. wenn Legacy-Anwendungen in die Cloud migriert werden. Dies ist problemlos möglich, benötigt wird folgendes:

  • Ein Windows Server oder Client, welcher Mitglied der Entra ID Domain Services Verwaltungsdomäne ist.
  • Einen Benutzer, welcher sich an dem Windows Server oder Client anmelden kann und gleichzeitig Mitglied der Domänen Administratoren ist oder ausreichende delegierte Berechtigungen auf die Dienstkonten hat.
  • Ein Dienstkonto für den entsprechenden Dienst, welcher sich mit der Keytab-Dateien authentifizieren soll.
Sind die genannten Anforderungen erfüllt, meldet man sich mit dem ausreichend berechtigten Benutzer an dem Windows Server oder Client an und startet dort eine Eingabeaufforderung. Mit folgendem Befehl wird die Keytab-Datei erzeugt:
				
					ktpass -princ <Prinzipalnamen*> -mapuser <Dienstkonto-Name>@<FQDN der Domäne> -ptype <KRB5_NT_PRINCIPAL (Allgemeiner Prinzipaltyp, alternativ Benutzer- oder Hostdienstinstanz)>  -crypto <AES256-SHA1 (oder benötigte Kryptographie)> -out <Pfad zur Ausgabedatei (.keytab)> -pass *
				
			

* Der Prinzipalname muss folgender Syntax entsprechen, wobei Groß-/Kleinschreibung beachtet werden muss:
host/computer.contoso.com@CONTOSO.COM
„host“ ist ein allgemeines Dienstprinzipal, wenn möglich sollte gezielt das benötigte Prinzipal verwendet werden, wie HTTP. 

 

Nach Ausführung des Befehls wird ein Kennwort zur Verschlüsselung der Datei erfragt, welches zur Bestätigung zwei Mal eingegeben werden muss. Danach findet sich die Keytab-Datei am angegebenen Zielverzeichnis.

 

Der Befehl kann z.B. wie folgt aussehen:

				
					ktpass -princ HTTP\test.auth.ioktest.net@AUTH.IOKTEST.NET -mapuser svckttest@auth.ioktest.net -ptype KRB5_NT_PRINCIPAL  -crypto AES256-SHA1 -out C:\temp\svckttest.keytab -pass *
				
			
Nach erfolgreicher Ausführung des Befehls, verändert sich der Benutzerprinziplaname (UPN) des Benutzers in der Entra ID Directory Services Verwaltungsdomäne. Zudem kann im Benutzerobjekt unter dem Attribut servicePrincipalName (SPN) der unter „-princ“ vorgegebene Name gefunden werden.

Auf einem Windows System kann mit dem Befehlszeilen-Programm „kinit“ überprüft werden, ob die Keytab-Datei gültig ist. Das Programm muss zuvor installiert werden und ist Teil des „MIT Kerberos for Windows 4.1“-Pakets, welches an folgender Stelle für die Installation bezogen werden kann: https://web.mit.edu/kerberos/dist/

Nach erfolgreicher Installation unter Verwendung der MSI-Datei kann in der Eingabeaufforderung folgender Befehl ausgeführt werden:
				
					kinit -k -t <Pfad zur Keytab-Datei> <Prizipalname des Dienstes>
				
			

Bleibt die Rückgabe des Befehls leer, war dies erfolgreich und die Keytab-Datei ist gültig.

 

Der Befehl kann z.B. wie folgt aussehen:

				
					kinit -k -t C:\temp\svckttest.keytab HTTP\test.auth.ioktest.net@AUTH.IOKTEST.NET
				
			

Bei zunehmender Verwendung von Cloud-Diensten oder bei einer Migration in die Cloud, können die Entra ID Directory Services eine hilfreiche und sinnvolle Komponente sein. Muss bei solchen Projekten die Anmeldung an Anwendungen, wie z.B. von SAP, berücksichtigt werden, können weiterhin Keytab-Dateien verwendet werden.

 

Wir unterstützen Sie gerne bei Ihren Cloud-Projekten und stehen Ihnen für Ihre Fragen zu den Entra ID Directory Services gerne zur Verfügung. Sprechen Sie uns an!

Weitere Informationen:

Allgemeine Hinweise zum IOK-Blog

Der IOK Blog stellt IT-Administratoren aktuelle und aus unserer Sicht relevante Informationen zur Verfügung. „Kurz und knackig“ wollen wir Sie so informiert halten. Für sämtliche Informationen gilt Folgendes:

  • Die Informationen wurden sorgfältig recherchiert, gelten aus unserer Sicht aber nur zum Zeitpunkt der Veröffentlichung. Bitte eventuelle Updates ggf. bei den genannten Ansprechpartnern der IOK oder bei Herstellern erfragen.
  • Irrtum und Änderungen sind vorbehalten.
  • IOK übernimmt keine Gewährleistung und Haftung für Schäden, die sich direkt oder indirekt aus der Umsetzung der von uns publizierten Artikel und vorgeschlagenen Vorgehensweisen und Informationen ergeben.
  • Technische Informationen und Lizenzbedingungen der Hersteller gelten in jedem Fall.

Wir wünschen Ihnen nun viel Erfolg mit den Infos aus dem IOK-Blog!

Wünschen Sie einen Rückruf zu diesem IOK Blogpost?

Sie haben Fragen zum Update oder benötigen Unterstützung bei dessen Installation? Wir rufen Sie zurück!