Chciałbym wiedzieć, czy możliwe jest utworzenie pliku tabeli kluczy bezpośrednio z komputera klienckiego bez użycia ktpassnarzędzia po stronie systemu Windows Server.
Głównym powodem, dla którego chciałbym tego zrobić, jest automatyczne włączenie integracji uwierzytelniania Kerberos z Windows Active Directory na komputerach z systemem Linux za pomocą niektórych skryptów powłoki.
Dzięki
Odpowiedzi:
Jeśli korzystasz z systemu Linux lub dowolnego systemu zgodnego z SAMBA, możesz użyć netaplikacji, aby dołączyć do domeny i zdalnie wygenerować tabelę kluczy, a ponieważ pracujesz w środowisku „Kerberized”, użyłbym Kerberos, aby zrobić całe uwierzytelnianie.
Najpierw poproś o bilet Kerberos z KDC systemu Windows z dowolnym kontem uprzywilejowanym:
kinit Administrator
Możesz sprawdzić, czy bilet został pomyślnie wygenerowany za pomocą klisti po utworzeniu biletu, wystarczy dołączyć do domeny za pomocą netaplikacji:
net ads join createupn=host/your_hostname.example.com@EXAMPLE.COM -k
Po zakończeniu procedury poproś KDC o utworzenie tabeli klawiszy:
net ads keytab create -k
Możesz wreszcie sprawdzić tworzenie tablicy klawiszy za pomocą klist -kepolecenia, jeśli korzystasz z wersji MIT Kerberos.