O que é o arquivo kerberos keytab usado na autenticação kerberos do UNIX / AD?

Como você provou isso exatamente?

Se você usar o net ads join, o Samba de fato criará um objeto padrão para um objeto de computador. Ele simplesmente não exporta isso para um arquivo keytab do sistema, a menos que seja configurado explicitamente.

Confira o parâmetro "kerberos method" em smb.conf (5) (para o samba 4.0; não tenho certeza sobre as versões mais antigas).

Se você não precisar expor nenhum outro serviço kerberizado, como sshd ou httpd, a máquinas no domínio, não será necessário um keytab explícito. Se o seu objetivo é ter logon único, é necessário criar entidades extras e colocá-las no keytab do sistema.

quando você registra um sistema com o controlador de domínio (net ads join), isso criará um princípio de host válido para o sistema em /etc/krb5.keytab. Isto irá criar um objeto de computador no AD. Este objeto rastreia o princípio no lado do AD em que os dados são armazenados no /etc/krb5.keytab do lado do cliente.

Se você acabou de usar o NIS para a camada NSS e o pam_krb5 nas configurações do PAM /etc/pam.d/system-auth e /etc/pam.d/password-auth, não haverá necessidade de registrar este sistema para AD.

O seu sistema precisa ter autenticação no nível do sistema? Por exemplo, você queria usar a autenticação GSSAPI do ssh para autenticar? Você precisará de um keytab no sistema que o utiliza. Outro exemplo: o NFSv4 usa um keytab local para autenticar os pontos de montagem usando o recurso de segurança do Krb5.

Como você configurou a integração do UNIX com o AD? Conhecer sua configuração nos ajudará a responder adequadamente à sua pergunta.

AD é um ambiente Kerberized e LDAP Directory Services. O Kerberos é usado para autenticação, criptografia e, portanto, porque os keytabs são normalmente necessários.

Se você gosta de obter os benefícios do Kerberos como parte da sua integração do UNIX ao AD sem as dores de cabeça do gerenciamento manual de keytabs, considere usar o Centrify Express link .