A solução ktutil fornecida por 84104 está correta se você está tentando fazer um keytab para um serviço. É uma péssima idéia para um keytab que você queira usar para algum processo automatizado, pois ele irá randomizar a senha e tornar a conta inutilizável sem o keytab.
Se você estiver usando o keytab como um repositório de senhas para alimentar o kinit para automatizar um processo, sugiro que use o tipo de encapsulamento obtido ao executar o kinit usando uma senha.
klist -e
listará um monte de coisas que a linha que você quer é essa. Use o etype listado com ktutil.
Etype (skey, tkt): aes256-cts-hmac-sha1-96, aes256-cts-hmac-sha1-96
Esteja avisado, este uso de ktutil é exatamente o mesmo que armazenar sua senha em um arquivo de texto claro, qualquer um que possa ler o keytab pode representar sua identidade para o sistema. Também estes comandos são a versão MIT, o heimdal ktutil e o klist são um pouco diferentes (o Heimdal é a versão do kerberos usada nas versões recentes do OS X)