Wie generiere ich Windows AD Kerberos Keytab aus der Ferne von einem Unix-Computer?

9

Ich möchte wissen, ob es möglich ist, eine Keytab-Datei direkt von einem Client-Computer aus zu erstellen, ohne das ktpassDienstprogramm auf der Windows Server-Seite zu verwenden.

Der Hauptgrund, warum ich dies möchte, besteht darin, die Integration der Kerberos-Authentifizierung von Windows Active Directory in Linux-Computer mithilfe einiger Shell-Skripts automatisch zu aktivieren.

Vielen Dank

Allan Alvaro
quelle

Antworten:

7

Wenn Sie ein Linux-System oder ein SAMBA-kompatibles System netausführen , können Sie die Anwendung verwenden, um der Domäne beizutreten und das Keytab remote für Sie zu generieren. Da Sie in einer "kerberisierten" Umgebung arbeiten, würde ich Kerberos verwenden die gesamte Authentifizierung.

Fragen Sie zunächst ein Kerberos-Ticket vom Windows KDC mit einem privilegierten Konto:

kinit Administrator

Sie können überprüfen, ob das Ticket mit klistund nach der Ticketerstellung erfolgreich generiert wurde. Treten Sie der Domain einfach mit der netAnwendung bei:

net ads join createupn=host/[email protected] -k

Wenn der Vorgang abgeschlossen ist, bitten Sie das KDC, ein Keytab zu erstellen:

net ads keytab create -k

Sie können die Keytab-Erstellung schließlich mit dem klist -keBefehl überprüfen, wenn Sie die MIT Kerberos-Version verwenden.

Vinícius Ferrão
quelle