Что необходимо для создания файла Kerberos Keytab на Windows?

Для того чтобы сгенерировать таблицу ключей в Windows, вам необходимо запустить некую версию Kerberos, которая обращается к серверу каталогов. В Windows, безусловно, наиболее распространенным примером этого является Active Directory, который имеет встроенную поддержку Kerberos. Вам нужно будет создать таблицу ключей на сервере Windows, присоединенном к домену Active Directory, с помощью команды ktpass для фактического создания таблицы ключей.

Пример синтаксиса генерации ключей:

ktpass -out centos1-dev-local.keytab -mapUser krbCentos@DEV.LOCAL +rndPass -mapOp set +DumpSalt -crypto AES256-SHA1 -ptype KRB5_NT_PRINCIPAL -princ HTTP/centos1.dev.local@DEV.LOCAL

В приведенном выше примере команды успешно создается таблица ключей для использования в домене AD с именем DEV.LOCAL. Примечание: обратите внимание на использование синтаксиса рандомизированного пароля (+rndPass). На мой взгляд, нет необходимости указывать пароль в синтаксисе команды создания keytab. Вместо этого лучше разрешить случайную выборку пароля - это обеспечивает гораздо лучшую безопасность, поскольку не позволяет никому вручную тайно войти в систему с учетной записью AD и обойти таблицу ключей.

Для дополнительной справки я настоятельно рекомендую вам прочитать мою статью о создании таблицы ключей Kerberos на платформе Windows в Microsoft Technet, которая значительно расширяет то, что я здесь сказал: Kerberos Keytabs - Explained. Я часто возвращаюсь и редактирую его, основываясь на вопросах, которые я вижу здесь на этом форуме.