Active-Directory
Unix 主機能否從 Active Directory 獲取另一台主機的 Kerberos 密鑰表?
我們使用 Puppet 來配置我們的伺服器,但為它們創建 Kerberos 密鑰表目前是一個手動過程。我們希望在機器首次引導時自動生成Unix 機器的 Kerberos 密鑰表。
那裡的各種教程(例如this )解釋了新機器本身如何獲得密鑰表——但這需要Samba和其他工具,我們希望避免安裝這些工具。
現有的 Unix 機器可以從 AD 伺服器請求*另一台 Unix 機器的 keytab 嗎?*如何?我們是否必須編寫程式碼(也許,使用 Samba4 的Python API——目前文件記錄很少),或者這可以使用現有工具來實現嗎?
好的,首先,感謝@Jason-Walker 的指針
kclient
——一個典型的 Sun 的實現(功能性但醜陋),ksh
在 C 中實現了 helper-utilites。顯然,加入域包括通過標準 LDAP 創建主機的條目– Sun 的腳本使用OpenLDAP 中的ldapsearch
、ldapmodify
和ldapadd
。一旦主機被腳本註冊(與@Jason-Walker 的評估相反,這可以從域中的任何主機完成),它就會呼叫
ksetpw
幫助實用程序來生成密鑰表。我什至幾乎完成了將它全部移植到 Linux 和 BSD 的工作,當我談到adcli時,它已經完全可以滿足我們的需要並且可以作為 RPM 使用。出於純粹的感謝,我什至創建了該實用程序的 FreeBSD 埠(在 Heimdal 支持下)。有很多的欣喜。