UNIX / AD Kerberos認証がキータブファイルなしで動作することを証明したので、それについて心配する必要があるかどうか疑問に思います(別のキータブにAD認証を提供するすべてのサーバーに1つが必要だとします)。
答え1
これをどのように正確に証明しますか?
Net Ads Joinを使用している場合、Sambaは実際にはコンピュータオブジェクトの標準サブジェクトを作成します。明示的に設定しない限り、システムキータブファイルにエクスポートされません。
smb.conf(5) の "kerberos method" パラメータを見てください (samba 4.0 の場合、以前のバージョンは不明)。
他のKerberosベースのサービス(sshdやhttpdなど)をドメイン内のコンピュータに公開する必要がない場合は、明示的なキータブは必要ありません。目標がシングルサインオンの場合は、追加のプリンシパルを作成して[システムキー]タブに配置する必要があります。
答え2
ドメインコントローラ(Network Ad Join)にシステムを登録すると、/ etc / krb5.keytabにシステムの有効なホストポリシーが作成されます。これにより、ADにコンピュータオブジェクトが作成されます。このオブジェクトは、AD 側のデータが /etc/krb5.keytab のクライアント側に保存される方法を追跡します。
NSS 層にのみ NIS を使用し、PAM 構成 /etc/pam.d/system-auth および /etc/pam.d/password-auth で pam_krb5 を使用する場合、このシステムを AD に登録する必要はありません。
答え3
システムにシステムレベルの認証が必要ですか?たとえば、SSH用のGSSAPI認証を使用して認証しますか?これを使用するには、システムにキータブが必要です。別の例:NFSv4はローカルキータブを使用してKrb5セキュリティでマウントポイントを認証します。
答え4
UNIXとADの統合をどのように設定しましたか?あなたの設定を理解すると、あなたの質問に正確に答えるのに役立ちます。
ADはKerberizedおよびLDAPディレクトリサービス環境です。 Kerberos は認証と暗号化に使用されるため、通常はキータブが必要です。
キータブを手動で管理しなくても、UNIXとADの統合でKerberosの利点が必要な場合は、Centrify Expressを検討してください。http://www.centrify.com/express。