CentOS 6 AD Authentication with SSSD: 為什麼要在加入域後獲取基於主機的票證

以下來自 Red Hat 的兩份文件解釋了將伺服器添加到 AD 域的過程。RHEL 版本不同，但步驟適用於兩者。

第 17 頁：https ://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/pdf/Windows_Integration_Guide/Red_Hat_Enterprise_Linux-7-Windows_Integration_Guide-en-US.pdf

步驟 3-d，將系統添加到域，然後列出主機密鑰表中的密鑰以確保主機主體密鑰存在：

# klist -k

本文件中的說明不要求使用主機密鑰表獲取 TGT。

根據“ https://access.redhat.com/sites/default/files/attachments/rhel-ad-integration-deployment-guidelines-v1.5.pdf ”的第 61 頁第 7 步，通過執行獲得基於主機的 TGT ：

# kinit -­k <hostname>$

我們在哪裡使用這個基於主機的 TGT？

無論有沒有主機 TGT，我都可以將 Linux 伺服器添加到 AD 域，並讓使用者使用他們的 AD 憑據登錄。

AD每30天輪換一次機器密碼時，它對主機keytab的更新有什麼作用嗎？

另一個相關問題是，當我列出主機密鑰時，我看到過期（並且續訂日期已過）票證仍然列出：

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: TESTHOST$@AD.EXAMPLE.COM

Valid starting     Expires            Service principal
06/10/17 12:59:41  06/10/17 22:59:41  krbtgt/AD.EXAMPLE.COM@AD.EXAMPLE.COM
       renew until 06/11/17 12:59:41
# date
Mon Jun 12 14:14:21 UTC 2017

klist列印過期主機票正常嗎？klist 何時將它們從列印中刪除？

謝謝

關於與主機主體的 kinit —— 這只是一個健全性檢查。有太多人在他們的主機上放置了偽造的 keytab，然後抱怨“sssd 已損壞”，我們不得不進行明確的檢查以盡快發現錯誤的 keytab。

關於 klist——這真的取決於 ccache 後端是什麼。使用文件，憑據即使在過期後仍保留在文件中，因此 klist 僅顯示它們。例如，使用 KEYRING（RHEL-7 使用），憑證在到期時會消失，因此不會顯示任何內容。無論哪種方式都沒有害處。

引用自：https://serverfault.com/questions/855275