Каков kerberos keytab файл, используемый для в UNIX/AD kerberos аутентификация?

Ваша система должна когда-либо иметь аутентификацию системного уровня? Например, Вы хотели использовать Аутентификацию ssh GSSAPI для аутентификации? Вам будет нужен keytab в системе, которая использует его. Другой пример: NFSv4 использует локальный keytab для аутентификации точек монтирования с помощью средства защиты Krb5.

Как Вы устанавливали свой UNIX к AD интеграции? Знание Вашей установки поможет нам правильно ответить на Ваш вопрос.

AD является и средой Kerberized и LDAP Directory Services. Kerberos используется для обеих аутентификации, шифрования следовательно, почему keytabs обычно требуются.

Если Вам нравится извлекать пользу из Kerberos как часть Вашего UNIX к AD интеграции без головных болей ручного управления keytabs, рассмотрите использование Centrify Express http://www.centrify.com/express.

Как Вы доказывали это точно?

При использовании сетевого соединения рекламы Samba действительно на самом деле создает стандартный принципал для компьютерного объекта. Это просто не экспортирует это в систему keytab файл, если не настроено явно.

Проверьте "kerberos метод" параметр в smb.conf (5) (для самбы 4.0; не уверенный в более старых версиях).

Если Вы не должны подвергать никакие другие kerberized сервисы, такие как sshd или httpd, к машинам в домене, Вам не нужен явный keytab. Если Ваша цель состоит в том, чтобы иметь единую точку входа, необходимо создать дополнительные принципалы и поместить их в систему keytab.

при регистрации системы в контроллере домена (сетевое соединение рекламы), это создаст допустимый принцип хоста для системы в/etc/krb5.keytab. Это создаст компьютерный объект на AD. Этот объект отслеживает принцип на AD стороне, что данные хранятся в/etc/krb5.keytab стороне клиента.

Если Вы просто будете использовать NIS для уровня NSS и pam_krb5 в конфигурациях PAM/etc/pam.d/system-auth и/etc/pam.d/password-auth, то не будет никакой потребности в Вас зарегистрировать эту систему к AD.