В этой документации упоминается, что вы можете использовать ktadd команда, которая «добавляет участника к существующей keytab». Означает ли добавление принципала, что у принципала теперь есть доступ к этому хосту (на котором был запущен ktadd) или что хост (на котором был запущен ktadd) теперь имеет доступ к этому принципалу (host/somehost-example).
http://web.mit.edu/Kerberos/krb5-1.4/krb5-1.4.2/doc/krb5-admin/Adding-Principals-to-Keytabs.html
Это довольно простой вопрос, но он не очень понятен из прочитанной мной документации.
А ключевой стол (keytab) файл содержит пары идентификаторов принципала Kerberos и соответствующий зашифрованный ключ для этого принципала. Он так же хорош, как и пароль (и должен быть защищен как таковой), и может использоваться для аутентификации в качестве одного из названных принципалов в области Kerberos.
Клавиатуры обычно используются в тех случаях, когда пароли не подходят; например, когда хост-машина или автоматизированный процесс должны пройти аутентификацию для доступа к сетевому ресурсу. Они также играют важную роль во взаимной аутентификации между сервером и клиентом (особенно в направлении от сервера к клиенту).
Эффект бетона: Добавление записи на вкладку с помощью ktadd означает добавление записи в таблицу ключей с указанием принципала и ключа шифрования для облегчения шифрования и дешифрования билетов, сгенерированных в обмен с KDC.
Абстрактный эффект: Добавление принципала означает, что keytab может использоваться любым контролирующим его объектом (например, хостом) для получения билета в качестве этого принципала.
Файл keytab в основном делает ненужным добавление пароля, сохраняя доступ к добавленному участнику. По сути, хост, на котором находится keytab, теперь будет иметь доступ к запрошенному принципалу.
Это руководство довольно хорошо объясняет проблему: https://kb.iu.edu/d/aumh