我想知道是否可以直接从客户端机器创建 keytab 文件,而不使用ktpass
Windows Server 端的实用程序。
我想要这个的主要原因是使用一些 shell 脚本自动在 Linux 机器中启用来自 Windows Active Directory 的 Kerberos 身份验证的集成。
谢谢
答案1
如果您运行的是 Linux 系统或任何 SAMBA 兼容系统,则可以使用该net
应用程序加入域并远程为您生成密钥表,并且由于您在“Kerberized”环境中工作,因此我会使用 Kerberos 进行所有身份验证。
首先使用任意特权账户向 Windows KDC 请求 Kerberos 票证:
kinit Administrator
您可以检查票证是否已成功生成,klist
并且在创建票证后,只需使用应用程序加入域即可net
:
net ads join createupn=host/[email protected] -k
当该过程完成后,只需要求 KDC 创建一个密钥表:
net ads keytab create -k
klist -ke
如果您使用的是 MIT Kerberos 版本,您最终可以使用命令检查密钥表的创建。