Unix 主機能否從 Active Directory 獲取另一台主機的 Kerberos 密鑰表？

我們使用 Puppet 來配置我們的伺服器，但為它們創建 Kerberos 密鑰表目前是一個手動過程。我們希望在機器首次引導時自動生成Unix 機器的 Kerberos 密鑰表。

那裡的各種教程（例如this ）解釋了新機器本身如何獲得密鑰表——但這需要Samba和其他工具，我們希望避免安裝這些工具。

現有的 Unix 機器可以從 AD 伺服器請求*另一台 Unix 機器的 keytab 嗎？*如何？我們是否必須編寫程式碼（也許，使用 Samba4 的Python API——目前文件記錄很少），或者這可以使用現有工具來實現嗎？

好的，首先，感謝@Jason-Walker 的指針kclient——一個典型的 Sun 的實現（功能性但醜陋），ksh在 C 中實現了 helper-utilites。顯然，加入域包括通過標準 LDAP 創建主機的條目– Sun 的腳本使用OpenLDAP 中的ldapsearch、ldapmodify和ldapadd。

一旦主機被腳本註冊（與@Jason-Walker 的評估相反，這可以從域中的任何主機完成），它就會呼叫ksetpw幫助實用程序來生成密鑰表。我什至幾乎完成了將它全部移植到 Linux 和 BSD 的工作，當我談到adcli時，它已經完全可以滿足我們的需要並且可以作為 RPM 使用。出於純粹的感謝，我什至創建了該實用程序的 FreeBSD 埠（在 Heimdal 支持下）。

有很多的欣喜。

引用自：https://serverfault.com/questions/782805