在 Windows 2000 域控制器中创建用户

1. 在域控制器中，为 Access Manager 验证模块创建用户帐户。

   1. 从“开始”菜单中，转至“程序”>“管理工具”。

   2. 选择“活动目录用户”和“计算机”。

   3. 转至“计算机”>“新建”>“计算机”，并添加客户机计算机的名称。如果使用的是 Windows XP，则会在域控制器帐户配置期间自动执行该步骤。

   4. 转至“用户”>“新建”>“用户”，并创建具有 Access Manager 主机名的新用户作为用户 ID（登录名称）。Access Manager 主机名不应该包含域名。

2. 在用户帐户与服务提供商名称间建立关联，并将密钥表文件导出至装有 Access Manager 的系统。为此，请运行以下命令：

   ktpass -princ host/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname.host.keytab ktpass -princ HTTP/hostname.domainname@DCDOMAIN -pass password -mapuser userName-out hostname.HTTP.keytab

   ---

   注 –

   ktpass 实用程序不会作为 Windows 2000 服务器的一部分安装。必须从安装 CD 将其安装到 c:\program files\support 工具目录。

   ---

   ktpass 命令接受以下参数：

   hostname。运行 Access Manager 的主机名（不含域名）。

   domainname。Access Manager 的域名。

   DCDOMAIN。域控制器的域名。它可能与 Access Manager 域名不同。

   password。用户帐户的密码。请确保密码正确，因为 ktpass 不校验密码。

   userName。用户帐户 ID。它应与主机名相同。

   ---

   注 –

   确保两个密钥表文件都已安全保管。

   ---

   服务模板的值应与以下示例类似：

   服务主体：HTTP/machine1.EXAMPLE.COM@ISQA.EXAMPLE.COM

   密钥文件名：/tmp/machine1.HTTP.keytab

   Kerberos 领域：ISQA.EXAMPLE.COM

   Kerberos 服务器名：machine2.EXAMPLE.com

   返回带有域名的主体：false

   验证级别：22

   ---

   注 –

   如果使用的是 Windows 2003 或 Windows 2003 Service Pack，则使用以下 ktpass 命令语法：

   ktpass /out filename /mapuser username /princ HTTP/hostname.domainname /crypto encryptiontype /rndpass /ptype principaltype /target domainname

   例如：

   ktpass /out demo.HTTP.keytab /mapuser http /princ HTTP/demo.identity.sun.com@IDENTITY.SUN.COM /crypto RC4-HMAC-NT /rndpass /ptype KRB5_NT_PRINCIPAL /target IDENTITY.SUN.COM

   有关语法定义，参见 http://technet2.microsoft.com/WindowsServer/en/library/64042138-9a5a-4981-84e9-d576a8db0d051033.mspx?mfr=true Web 站点。

   ---

3. 重新启动服务器。