Abaixo segue o roteiro para criação das keytab e posteriormente ativar no Webcontrol a autenticação.
1. O nome de cada host do ISS, FQDN deve estar configurado no DNS do AD (Ex: iss01.dominio.com.br);
2. Para gerar a Keytab, deve de ser criado um usuário para cada servidor no AD (usuário que vai autenticar o ticket no Kerberos), pois cada chave é linkada por usuário. Este usuário deve estar marcado para não expirar a senha.
2.1.Procedimento para gerar a Keytab, modificar os parâmetros conforme descrito:
Usuário Criado = pxteste
Nome do Servidor da Unidade = iss01.dominio.com.br
Não expirar senha.
Comando Exemplo que deve ser executado para gerar a Keytab:
ktpass -princ HTTP/iss01.dominio.com.br@DOMINIO.COM.BR -mapuser usuariokerberos@DOMINIO.COM.BR -crypto rc4-hmac-nt -pass xxxxx -ptype KRB5_NT_PRINCIPAL -out CHAVE.keytab
a) Este comando deve ser executado no AD Primário;
b) Deve ser Executado com Shell usando Administrador;
c) A replicação da Keytab para as unidades pode demorar, melhor gerar um dia antes da ativação.
3. Ativar a autenticação via Kerberos no Webcontrol, configurando com usuário e senhas previamente criados nos passos acima, e importando a keytab Kerberos exportada;
4. Modificar as configurações do Browsers para apontar para o NOME (DNS) previamente configurados e replicados, a tecnologia Kerberos não utilizara e nem funcionara mais com o IP.
Documentação referência Kerberos/AD: http://docs.diladele.com/administrator_guide_4_1/system_configuration/active_directory/install_prerequisites_for_kerberos_authentication.html