Проблема имеет две стороны:
Для хранения выражения escape-последовательности и специальное заключение в кавычки могли бы быть необходимы (который, кажется, является правильным в примере). Выполнение может быть выполнено двумя способами:
eval $STY
для определения переменной, данного в Вашем примереВаша система должна когда-либо иметь аутентификацию системного уровня? Например, Вы хотели использовать Аутентификацию ssh GSSAPI для аутентификации? Вам будет нужен keytab в системе, которая использует его. Другой пример: NFSv4 использует локальный keytab для аутентификации точек монтирования с помощью средства защиты Krb5.
Как Вы устанавливали свой UNIX к AD интеграции? Знание Вашей установки поможет нам правильно ответить на Ваш вопрос.
AD является и средой Kerberized и LDAP Directory Services. Kerberos используется для обеих аутентификации, шифрования следовательно, почему keytabs обычно требуются.
Если Вам нравится извлекать пользу из Kerberos как часть Вашего UNIX к AD интеграции без головных болей ручного управления keytabs, рассмотрите использование Centrify Express http://www.centrify.com/express.
Как Вы доказывали это точно?
При использовании сетевого соединения рекламы Samba действительно на самом деле создает стандартный принципал для компьютерного объекта. Это просто не экспортирует это в систему keytab файл, если не настроено явно.
Проверьте "kerberos метод" параметр в smb.conf (5) (для самбы 4.0; не уверенный в более старых версиях).
Если Вы не должны подвергать никакие другие kerberized сервисы, такие как sshd или httpd, к машинам в домене, Вам не нужен явный keytab. Если Ваша цель состоит в том, чтобы иметь единую точку входа, необходимо создать дополнительные принципалы и поместить их в систему keytab.
при регистрации системы в контроллере домена (сетевое соединение рекламы), это создаст допустимый принцип хоста для системы в/etc/krb5.keytab. Это создаст компьютерный объект на AD. Этот объект отслеживает принцип на AD стороне, что данные хранятся в/etc/krb5.keytab стороне клиента.
Если Вы просто будете использовать NIS для уровня NSS и pam_krb5 в конфигурациях PAM/etc/pam.d/system-auth и/etc/pam.d/password-auth, то не будет никакой потребности в Вас зарегистрировать эту систему к AD.