Java - Active Directory / Kerberos (lösenord) - Adminrättigheter?

[quickhelp]

Jag har två frågor:

1) Jag vill hämta data från en Active Directory i Java med hjälp av JNDI från min EJB. När man gör denna sökning så behöver en användare anges. Därför tänkte jag skapa ett servicekonto (för min server) i AD: t. Vilka rättigheter behöver denna användare? Behöver den administrator-rättigheter?

2) Jag kommer också använda mig av Kerberos-protokollet och en WebLogic Server. Som jag förstår det, så kommer jag då behöva skapa en keytab-fil som innehåller denna servicekontos username/pwd. Denna keytab-fil konfigureras sedan in i WebLogic-servern?

Detta betyder att username/pwd behöver anges dels i keytab-filen och dels i EJB: n (för att hämta data från AD med hjälp av JNDI). Vad är bästa angreppsättet för detta? Kan keytab-filen vara dynamisk på något sätt? Detta för att förenkla att man kan byta ut lösenorder och endast göra det på ett enda ställe.