我的本地电脑使用Windows 7 Pro,属于realm LR,由AD服务器管理。我在连接到该领域的网络时登录到我的计算机。我可以使用 MIT Kerberos for Windows ver 查看 TGT。4.0.1。
我想访问国外领域的资源,FR。LR 和 FR 之间没有 Kerberos 信任,但它们允许彼此之间的 TCP 流量。我为其 KDC(Red Hat IdM / FreeIPA)请求了 FR 的 TGT,并在受到挑战时成功输入了我的密码。同样,我可以使用 MIT Kerberos for Windows ver 查看 TGT。4.0.1。尽管来自 LR,但我现在可以通过 SSH 访问 FR 中的资源而无需输入密码。
问题是当我获得 FR 的 TGT 时,我的 LR 主体的 TGT 消失了。在 MIT Kerberos 中只有 FR TGT 可见。如果我锁定我的计算机,然后用我的密码解锁,现在 FR TGT 不见了,取而代之的是新的 LR TGT。
似乎 MIT Kerberos for Windows 一次只能存储一个 TGT。每个 TGT 完全适用于其领域的所有意图和目的。如何配置 MIT Kerberos 以让我一次拥有两个 TGT,每个领域一个?是否可以“划分”多个客户端实例,每个实例指向不同的 KRB5_CONFIG 和本地密钥表?如果我不能,是否有客户端 Kerberos 5 的替代 Windows 实现,即使没有域间信任? …
kerberos ×1