ktpass中mapuser的用途

Posted

技术标签:

【中文标题】ktpass中mapuser的用途【英文标题】:Purpose of mapuser in ktpass 【发布时间】:2014-02-06 09:14:17 【问题描述】:

我只是想知道使用ktpass 将用户映射到服务的目的是什么。例如,我在 Windows 上运行 ktpass,如下所示:

ktpass -out <keytab location> -princ <host/domain.com> -mapUser useraccount@domain.com -mapOp add .........

当我们将用户映射到-princ 时,这是否意味着只有“用户帐户”才能对服务进行身份验证?我们如何使用-add-set 选项?有什么区别?

我的问题是:我有很多用户想要使用我拥有的服务,并通过 kerberos (JASS Krb5LoginModule) 进行身份验证,但我不想在 jaas.config 文件中指定很多用户主体名称。所以我正在考虑改用 SPN,并映射用户。

【问题讨论】:

看来这个问题的答案是正确的。你为什么不直接标记为接受多萝西? 【参考方案1】:

选项 -mapUser useraccount@domain.com 告诉 ktpass 将“principal”存储在 Active Directory 中此用户的属性 userPrincipalName 中,以便 Active Directory 能够在客户端请求 KerberosServiceTicket 时找到它,并且开这样的票。

-mapUser 指定用户名,代表您在 Active Directory 中的服务。

使用 ktpass 您正在做两件事:为您的服务生成 keytab(以便它可以打开从客户端收到的 Kerberos 票证,即对其进行身份验证),以及在 Active Directory 中注册主体(以便客户端可以在全部)。

在 jaas.config 文件中,您只指定一个主体名称(用于服务),而不是用于客户端。一旦用户登录到 Active Directory 域,他/她就有权为您的服务获取服务票证。

【讨论】:

以上是关于ktpass中mapuser的用途的主要内容,如果未能解决你的问题,请参考以下文章

将kinit与keytab文件一起使用时会发生什么

text ktpass例子

SSH简介与用途

SQLServer 2008中SQL增强之二 Top新用途

外观设计产品用途

Lambda表达式的主要用途是啥?