Tôi muốn biết nếu có thể tạo tệp keytab trực tiếp từ máy khách mà không cần sử dụng ktpasstiện ích ở phía Windows Server.
Lý do chính tôi muốn điều này là để tự động kích hoạt tích hợp xác thực Kerberos từ Windows Active Directory trong các máy Linux sử dụng một số tập lệnh shell.
Cảm ơn
Câu trả lời:
Nếu bạn đang chạy một hệ thống Linux hoặc bất kỳ hệ thống tương thích SAMBA nào, bạn có thể sử dụng netứng dụng để tham gia miền và tạo keytab từ xa cho bạn và vì bạn đang làm việc trong môi trường của Kerberized, tôi sẽ sử dụng Kerberos để tạo tất cả các xác thực.
Trước hết, hãy hỏi Vé Kerberos từ Windows KDC với bất kỳ tài khoản đặc quyền nào:
kinit Administrator
Bạn có thể kiểm tra xem vé đã được tạo thành công klisthay chưa và sau khi tạo vé, chỉ cần tham gia tên miền bằng netứng dụng:
net ads join createupn=host/your_hostname.example.com@EXAMPLE.COM -k
Khi thủ tục hoàn tất, chỉ cần yêu cầu KDC tạo keytab:
net ads keytab create -k
Cuối cùng, bạn có thể kiểm tra việc tạo keytab bằng klist -kelệnh nếu bạn đang sử dụng phiên bản MIT Kerberos.