如何从 Unix 机器远程生成 Windows AD Kerberos 密钥表?

如何从 Unix 机器远程生成 Windows AD Kerberos 密钥表?

我想知道是否可以直接从客户端机器创建 keytab 文件,而不使用ktpassWindows Server 端的实用程序。

我想要这个的主要原因是使用一些 shell 脚本自动在 Linux 机器中启用来自 Windows Active Directory 的 Kerberos 身份验证的集成。

谢谢

答案1

如果您运行的是 Linux 系统或任何 SAMBA 兼容系统,则可以使用该net应用程序加入域并远程为您生成密钥表,并且由于您在“Kerberized”环境中工作,因此我会使用 Kerberos 进行所有身份验证。

首先使用任意特权账户向 Windows KDC 请求 Kerberos 票证:

kinit Administrator

您可以检查票证是否已成功生成,klist并且在创建票证后,只需使用应用程序加入域即可net

net ads join createupn=host/[email protected] -k

当该过程完成后,只需要求 KDC 创建一个密钥表:

net ads keytab create -k

klist -ke如果您使用的是 MIT Kerberos 版本,您最终可以使用命令检查密钥表的创建。

相关内容