dor*_*thy 1 kerberos jaas ktpass
我只是想知道将用户映射到服务的目的是什么ktpass.例如我在Windows上运行ktpass如下:
ktpass -out <keytab location> -princ <host/domain.com> -mapUser useraccount@domain.com -mapOp add .........
当我们将用户映射到-princ是否意味着只有"useraccount"才能对服务进行身份验证?我们如何使用-add和-set选项?有什么不同?
我的问题是:我有很多用户想要使用我的服务,并通过kerberos(JASS Krb5LoginModule)进行身份验证,但我不想在jaas.config文件中指定许多用户主体名称.所以我正在考虑使用SPN,并映射用户.
gre*_*ker 10
选项-mapUser useraccount@domain.com告诉ktpass在Active Directory中存储此用户的属性userPrincipalName中的'principal',以便当客户端请求KerberosServiceTicket获取此"principal"并发出此类票证时,Active Directory将能够找到它.
-mapUser指定用户的名称,该用户名表示Active Directory中的服务.
使用ktpass,你要做两件事:为你的服务生成keytab(这样它就可以打开从客户端收到的Kerberos票证,即对它们进行身份验证),并在Active Directory中注册主体(这样客户端就可以获得服务的票证).
在jaas.config文件中,您只指定一个主体名称(用于服务),而不是客户端.用户登录到Active Directory域后,他/她有权获取您的服务的服务票证.
| 归档时间: |
|
| 查看次数: |
6949 次 |
| 最近记录: |