服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 有关使用Active Directory的ktpass / kerberos的问题
Intereting Posts
SAN快照备份 在Unix上安装大型机文件系统(反之亦然) ip route show src字段 ASIHttpRequest在heroku上重复请求 无法访问从其他系统复制的文件 受SQL支持的受限LDAP模拟服务器 通过Windowsterminal服务器获取间歇性错误:“由于数据encryption中的错误,此会话将结束” PPTP VPN – 用户无法通过服务器访问互联网 为什么我不应该以root身份运行软件,但是经常build议给一个帐户root权限来运行软件? 在虚拟机上安装SQL Server 2000 Windows Server 2008(HyperV) 使用LDP恢复已删除的项目 升级Ubuntu的12.04到14.04在哪个方式影响Apache托pipe的旧网站? UWSGI不创build我的套接字 通过PPTP VPN路由stream量 为什么sshd在通过pam或KerberosAuthenticationvalidation用户时要求主机服务主体

有关使用Active Directory的ktpass / kerberos的问题

我用Active Directory得到了几个关于Kerberos的问题,特别是关于ktpass工具。

我正在使用的示例AD(一切都在2012R2级别):
活动目录域名:ad.example.com
域控制器 :dc.ad.example.com
服务器服务器名称 :server.ad.example.com
服务用户名[email protected]

我使用这个作为参考调用ktpass命令: 

ktpass /princ SERVICE-NAME/[email protected] /mapuser [email protected] /pass * /ptype KRB5_NT_PRICIPAL /crypto AES128-SHA1

我的testing系统输出: 

 Targeting domain controller: dc.ad.example.com Using legacy password setting method Successfully mapped SERVICE-NAME/server.ad.example.com to [email protected]. Type the password for SERVICE-NAME/server.ad.example.com: Type the password again to confirm: Key created.

现在的问题是:

  • / mapuser参数将Kerberos主体映射到用户,这与setspn -U -S SERVICE-NAME/server.ad.example.com test-service-user吗? 或者还有其他一些映射吗? 如果是的话如何撤消那个映射?
  • 如果我使用“Active Directory用户和计算机”工具查找testing服务用户,我发现“用户login名”已被replace为“SERVICE-NAME / server.ad.example.com”,那么是否意味着每个用户只有一个Kerberos主体可能?
  • 我没有指定/ out参数 – 但它表示“密钥创build”,这是否意味着它已经更新了testing服务用户的密码或有一个密钥存储在其他地方(?)?
  • “传统密码设置方法”是什么意思?