Пример файла:

[logging]

  default = FILE:/var/log/krb5libs.log

  kdc = FILE:/var/log/krb5kdc.log

  admin_server = FILE:/var/log/kadmind.log

[libdefaults]

  default_realm = DOMAIN.RU

  dns_lookup_kdc = false

  dns_lookup_realm = false

[realms]

  DOMAIN.RU = {

    kdc = controller.domain.ru

    admin_server = controller.domain.ru

    default_domain = domain.ru

  }

[domain_realm]

  .domain.ru = DOMAIN.RU

  domain.ru = DOMAIN.RU

  domain = DOMAIN.RU

  DOMAIN = DOMAIN.RU

Следующим шагом создадим пользователя в Active Directory, имя которого UNIX-машина будет использовать для Kerberos-аутентификации себя. Для этого на контроллере домена в меню «Пуск» откройте «Administrative Tools –> Active directory Users and Computers», выберите нужный контейнер и создайте там пользователя. В качестве параметров можно запретить ему менять пароль (галочка «User cannot change password») и убрать необходимость его менять со временем (галочка «Password never expires»). Допустим, что вы создали пользователя с именем unixuser и паролем SuperPass667.

Далее создаем файл, в который экспортируем секретный ключ: для этого в консоли cmd.exe на контроллере домена требуется выполнить команду:

C:>ktpass -princ host/NIX$@DOMAIN.RU -mapuser unixuser -pass SuperPass667 -out nix.keytab

где:

n  host/NIX$@DOMAIN.RU – строка, обозначающая имя машины в терминологии kerberos. Знак доллара является признаком машинного аккаунта в Active Directory, и его забывать не следует. DOMAIN.RU – домен, на контроллере которого вы сейчас работаете;

n  unixuser – имя создаваемой учетной записи;

n  SuperPass667 – соответственно его пароль;