ktpass中mapuser的用途

Posted 2023-02-22

【中文标题】ktpass中mapuser的用途

【英文标题】：Purpose of mapuser in ktpass

【发布时间】：2014-02-06 09:14:17

【问题描述】：

我只是想知道使用ktpass 将用户映射到服务的目的是什么。例如，我在 Windows 上运行 ktpass，如下所示：

ktpass -out <keytab location> -princ <host/domain.com> -mapUser useraccount@domain.com -mapOp add .........

当我们将用户映射到-princ 时，这是否意味着只有“用户帐户”才能对服务进行身份验证？我们如何使用-add 和-set 选项？有什么区别？

我的问题是：我有很多用户想要使用我拥有的服务，并通过 kerberos (JASS Krb5LoginModule) 进行身份验证，但我不想在 jaas.config 文件中指定很多用户主体名称。所以我正在考虑改用 SPN，并映射用户。

【问题讨论】：

看来这个问题的答案是正确的。你为什么不直接标记为接受多萝西？

【参考方案1】：

选项 -mapUser useraccount@domain.com 告诉 ktpass 将“principal”存储在 Active Directory 中此用户的属性 userPrincipalName 中，以便 Active Directory 能够在客户端请求 KerberosServiceTicket 时找到它，并且开这样的票。

-mapUser 指定用户名，代表您在 Active Directory 中的服务。

使用 ktpass 您正在做两件事：为您的服务生成 keytab（以便它可以打开从客户端收到的 Kerberos 票证，即对其进行身份验证），以及在 Active Directory 中注册主体（以便客户端可以在全部）。

在 jaas.config 文件中，您只指定一个主体名称（用于服务），而不是用于客户端。一旦用户登录到 Active Directory 域，他/她就有权为您的服务获取服务票证。