lul*_*loo 5 active-directory kerberos service spn integrated-authentication
将新 SPN 添加到 Kerberos 域时,您可以选择将 SPN 映射到用户。通常,我通过集成 Windows 身份验证加入域,这会为该服务创建一个新的计算机帐户,但是现在,我想尝试使用没有 IWA 的 Kerberos。
我相信我对 Kerberos 如何对计算机主机的客户端进行身份验证有一个透彻的了解(对于我正在尝试做的事情来说已经足够了) - 但是将 SPN 映射到域用户究竟做了什么?
编辑:我不是在问 SPN 通常是如何工作的。我特别询问将 SPN 映射到域用户的详细信息。
回答:
任何进一步的信息将不胜感激。
AD 用户帐户只有在用于运行服务时才具有服务主体名称。因此,大多数 AD 用户帐户将没有任何服务主体名称。AD 用户帐户将具有 SPN 的最常见示例是,如果该用户帐户用作服务帐户来运行 MS SQL、IIS 等。如果 AD 用户帐户用于操作服务,但没有 SPN在 AD 中注册,则该服务无法使用 Kerberos。
相比之下,AD 用户帐户将始终具有用户主体名称。
服务主体名称与服务在其安全上下文中执行的安全主体(用户或组)相关联。SPN 用于支持客户端应用程序和服务之间的相互身份验证。SPN 由客户端了解的有关服务的信息组合而成。或者,它可以从受信任的第三方(例如 Active Directory)获取信息。服务主体名称与帐户相关联,并且一个帐户可以有多个服务主体名称。
| 归档时间: |
|
| 查看次数: |
14373 次 |
| 最近记录: |