小野寛生です。 samba 4.6.11 で Active Directory DC を構成しています。 samba wiki の https://wiki.samba.org/index.php/Generating_Keytabs に、Adding Enctypes to an Account という項目があって、これを読むと net ads enctypes set <ACCOUNTNAME> を実行すると samba-tool domain exportkeytab で出力される keytab に aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 も含められそうに読めるのですが、 1) net ads enctypes set nfs-user を実行 2) samba-tool spn add nfs/IMAGE.OIKUMENE.UKEHI.NET nfs-user を実行 (ただ、(1) の前に作ってあったものを一度 delete して同じものを作り直しています) 3) samba-tool domain exportkeytab /tmp/nfs.image.keytab --principal=nfs/IMAGE.OIKUMENE.UKEHI.NET で keytab を作成して ktutil で見てみたところ Vno Type Principal Aliases 2 arcfour-hmac-md5 nfs/IMAGE.OIKUMENE.UKEHI.NET @ OIKUMENE.UKEHI.NET 2 des-cbc-md5 nfs/IMAGE.OIKUMENE.UKEHI.NET @ OIKUMENE.UKEHI.NET 2 des-cbc-crc nfs/IMAGE.OIKUMENE.UKEHI.NET @ OIKUMENE.UKEHI.NET となって aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 は含まれていないようなんですが、 これはそういうものなんでしょうか? 今 FreeBSD 上で NFSv4 + Kerberos の設定で四苦八苦していて、これはそれとはたぶんあまり関係ないのですが、 ちょっと気になりました。