Kerberos Keytab erstellen und Debug in UCS

Hauseigenes Apt-Repo: https://apt.iteas.at

Eine Keytab wird immer wieder mal benötigt, z.B. für Apache und Kerberosauth. Für SSH gibt es hier schon einen Artikel.

Keytab mittels Sambatools vom Masterserver exportieren. Z.B. auch für Kerberosticketlogin SSH. Hier für den spezifischen Host wiki.deepdoc.at.

samba-tool user create krb-deepdoc-http --description="Unprivileged user for the Wiki" --random-password
samba-tool user setexpiry krb-deepdoc-http --noexpiry
samba-tool spn add HTTP/deepdoc.at krb-deepdoc-http
samba-tool spn add HTTP/deepdoc.at@OSIT.CC krb-deepdoc-http
samba-tool domain exportkeytab --principal=HTTP/deepdoc.at /etc/keytabs/krb-deepdoc-http.keytab

Das File kann man dann auf dem gewünschten Host in das Verzeichnis seiner Wahl kopieren. z.b. /etc/apache2/krb5.keytab Eigentümer und Rechte beachten. Den Inhalt kann man mit folgendem Befehl darstellen:

ktutil -k /etc/apache2/krb5.keytab list