Comment générer à distance le keytab Windows AD Kerberos à partir d'une machine Unix?

Je voudrais savoir s'il est possible de créer un fichier keytab directement à partir d'une machine client sans utiliser l' ktpassutilitaire côté Windows Server.

La principale raison pour laquelle je voudrais cela, est d'activer automatiquement l'intégration de l'authentification Kerberos à partir de Windows Active Directory dans les machines Linux à l'aide de certains scripts shell.

Merci

Si vous utilisez un système Linux ou tout autre système compatible SAMBA, vous pouvez utiliser l' netapplication pour rejoindre le domaine et générer à distance le fichier de clés pour vous, et puisque vous travaillez dans un environnement «Kerberized», j'utiliserais Kerberos pour créer toute l'authentification.

Tout d'abord, demandez un ticket Kerberos à partir de Windows KDC avec n'importe quel compte privilégié:

kinit Administrator

Vous pouvez vérifier si le ticket a été généré avec succès avec klistet après la création du ticket, il suffit de rejoindre le domaine à l'aide de l' netapplication:

net ads join createupn=host/[email protected] -k

Une fois la procédure terminée, il suffit de demander au KDC de créer un keytab:

net ads keytab create -k

Vous pouvez enfin vérifier la création du fichier de clés avec la klist -kecommande si vous utilisez la version MIT Kerberos.