Kerberos Keytab erstellen und Debug in UCS

Eine Keytab wird immer wieder mal benötigt, z.B. für Apache und Kerberosauth, oder für SSH mit Kerberos Auth. Diese erstell man Masterserver mit dem Befehl:

Keytab mittels Sambatools vom Masterserver exportieren. Z.B. auch für Kerberosticketlogin SSH. Hier für den spezifischen Host wiki.deepdoc.at.

samba-tool domain exportkeytab /root/wiki.keytab --principal "host/wiki@DEEPDOC.AT"

Das File kann man dann auf dem gewünschten Host auf /etc/krb5.keytab kopieren. Eigentümer Root und Rechte 600. Den Inhalt kann man mit folgendem Befehl darstellen:

ktutil -k wiki.keytab list

Lässt man beim Export den Teil –principal „host/wiki@DEEPDOC.AT weg, wird die gesamte Keytab exportiert.

Mittels LDAP erstellen (ungegestest im Feld)

ktutil --keytab=/etc/simplesamlphp.keytab list

Den Output kann man dann gut verwenden.

FIXME