Active-Directory

Unix 主機能否從 Active Directory 獲取另一台主機的 Kerberos 密鑰表?

  • June 16, 2016

我們使用 Puppet 來配置我們的伺服器,但為它們創建 Kerberos 密鑰表目前是一個手動過程。我們希望在機器首次引導時自動生成Unix 機器的 Kerberos 密鑰表。

那裡的各種教程(例如this )解釋了新機器本身如何獲得密鑰表——但這需要Samba和其他工具,我們希望避免安裝這些工具。

現有的 Unix 機器可以從 AD 伺服器請求*另一台 Unix 機器的 keytab 嗎?*如何?我們是否必須編寫程式碼(也許,使用 Samba4 的Python API——目前文件記錄很少),或者這可以使用現有工具來實現嗎?

好的,首先,感謝@Jason-Walker 的指針kclient——一個典型的 Sun 的實現(功能性但醜陋),ksh在 C 中實現了 helper-utilites。顯然,加入域包括通過標準 LDAP 創建主機的條目– Sun 的腳本使用OpenLDAP 中的ldapsearchldapmodifyldapadd

一旦主機被腳本註冊(與@Jason-Walker 的評估相反,這可以從域中的任何主機完成),它就會呼叫ksetpw幫助實用程序來生成密鑰表。我什至幾乎完成了將它全部移植到 Linux 和 BSD 的工作,當我談到adcli時,它已經完全可以滿足我們的需要並且可以作為 RPM 使用。出於純粹的感謝,我什至創建了該實用程序的 FreeBSD 埠(在 Heimdal 支持下)。

有很多的欣喜。

引用自:https://serverfault.com/questions/782805