Hoje eu uso o mesmo keytab para todos os servidores Linux (centenas). Estou pensando em usar um keytab diferente para cada máquina porque suponho que, se eu usar o mesmo keytab, o Active Directory acha que tenho apenas uma máquina, mas, além disso, não vejo muitos benefícios de usar diferentes keytabs.
Por que devo usar um keytab diferente para cada servidor Linux que se autentica no Active Directory?
O uso de diferentes keytabs para cada máquina permite que você remova seletivamente os sistemas do seu domínio. Se um único dos seus sistemas foi comprometido, e você usou o mesmo keytab para todos os seus sistemas, e você quer inicializar o sistema nocivo de seu domínio, você será forçado a revogar o keytab do servidor AD para todos seus sistemas, não apenas o keytab do sistema desonesto.
Tags active-directory kerberos sssd