Habe soeben nochmal einen Technet-Artikel gefunden, der es auch schreibt: Also Keytabs werden wohl auch genutzt, damit z.B. Linuxsysteme einen Keytab im Dateisystem anstelle von Configfiles inkl. Benutzername und Kennwort speichern.
https://social.technet.microsoft.com/wiki/contents/articles/36470.active-directory-using-kerberos-keytabs-to-integrate-non-windows-systems.aspx?Sort=MostUseful&PageIndex=1
Leider werde ich aus dem Artikel auch nicht schlauer. Auch die Beschreibungen sind mir unklar.
Der Parameter /princ beschreibt den SPN. In der MS-Doku von ktpass (https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/ktpass)steht aber nur "principal name". Wenn das Absicht ist, dann weiß ich eben nicht wie der Prinzipalname angegeben werden soll. (Da ich den Serviceidentifier, z.B. HTTP oder MSSQL etc. ja nicht kenne bzw. es ihn nicht gibt).
Nachtrag:
Man kann die Datei erstellen, wenn man nur /princ (ohne /mapuser) angibt, und anstelle des SPNs einfach den Benutzernamen "fremdbenutzer@DOMAIN.DE". Die Ausgabe von ktpass warnt einen dann aber, der Account würde innerhalb der Domäne nicht funtionieren (Was auch immer sie mit innerhalb meinen).
--> ktpass /princ fremdbenutzer@DOMAIN.de /out <pfad> /pass rndpass
Danke, ich werde mal Deinen Hinweis nutzen und das so erstellte Keytab mit kinit testen