Gostaria de saber se é possível criar um arquivo keytab diretamente de uma máquina cliente sem usar o ktpassutilitário no lado do Windows Server.
A principal razão pela qual eu gostaria disso é habilitar automaticamente a integração da autenticação Kerberos do Windows Active Directory em máquinas Linux usando alguns scripts de shell.
obrigado
Respostas:
Se você estiver executando um sistema Linux ou qualquer sistema compatível com SAMBA, poderá usar o netaplicativo para ingressar no domínio e gerar remotamente o keytab para você. Como você está trabalhando em um ambiente "Kerberizado", usaria o Kerberos para criar toda a autenticação.
Antes de tudo, solicite um tíquete Kerberos do KDC do Windows com qualquer conta privilegiada:
kinit Administrator
Você pode verificar se o ticket foi gerado com sucesso com kliste após a criação do ticket, basta ingressar no domínio usando o netaplicativo:
net ads join createupn=host/your_hostname.example.com@EXAMPLE.COM -k
Quando o procedimento estiver concluído, peça ao KDC para criar um keytab:
net ads keytab create -k
Finalmente, você pode verificar a criação do keytab com o klist -kecomando se estiver usando a versão do MIT Kerberos.