Можно ли использовать keytab для группы пользователей в AD

Для успешной аутентификации Kerberos SSO вам нужно всего лишь разместить одну таблицу ключей на сервере приложений, а не несколько. Когда пользователи получают доступ к службе с поддержкой Kerberos, они получают билет Kerberos для этой службы из KDC. Таблица ключей на сервере приложений расшифровывает содержимое этого билета, поскольку внутри таблицы ключей находится представление службы, работающей на сервере приложений, к которой хотят получить доступ пользователи, полное доменное имя сервера приложений и имя области Kerberos, которое будет соответствовать аутентификации попытка и криптографический хэш субъекта службы в KDC. Поскольку пароли в каждом из них совпадают, аутентификация проходит успешно. Это очень подразумеваемое объяснение. Однако таблица ключей не сможет определить членство в группе пользователей. Это часть авторизации, поэтому вам необходимо выполнить обратный вызов авторизации LDAP на сервер Каталога, если вы хотите проанализировать членство в группе.

Есть только одно исключение из этого правила, о котором я знаю. В однородной среде Active Directory только для Microsoft, в которой Kerberos является основным методом проверки подлинности (по умолчанию), вкладки ключей не используются. Серверы приложений Майкрософт могут без дешифровки ключей самостоятельно дешифровать билет Kerberos, чтобы определить, кто пользователь, и также проанализировать этот же билет для получения информации о группе пользователя без необходимости обратного вызова LDAP на сервер Каталога. Анализ билета службы Kerberos для получения информации о группе называется чтением PAC. Однако в среде AD платформы, не принадлежащие Microsoft, не могут "прочитать PAC" для членства в группах, поскольку, насколько мне известно, Microsoft никогда не показывала, как они это делают. См. http://searchwindowsserver.techtarget.com/feature/Advanced-Kerberos-topics-From-authentication-to-authorization.