ktpass中mapuser的用途
Posted
技术标签:
【中文标题】ktpass中mapuser的用途【英文标题】:Purpose of mapuser in ktpass 【发布时间】:2014-02-06 09:14:17 【问题描述】:我只是想知道使用ktpass
将用户映射到服务的目的是什么。例如,我在 Windows 上运行 ktpass
,如下所示:
ktpass -out <keytab location> -princ <host/domain.com> -mapUser useraccount@domain.com -mapOp add .........
当我们将用户映射到-princ
时,这是否意味着只有“用户帐户”才能对服务进行身份验证?我们如何使用-add
和-set
选项?有什么区别?
我的问题是:我有很多用户想要使用我拥有的服务,并通过 kerberos (JASS Krb5LoginModule) 进行身份验证,但我不想在 jaas.config 文件中指定很多用户主体名称。所以我正在考虑改用 SPN,并映射用户。
【问题讨论】:
看来这个问题的答案是正确的。你为什么不直接标记为接受多萝西? 【参考方案1】:选项 -mapUser useraccount@domain.com 告诉 ktpass 将“principal”存储在 Active Directory 中此用户的属性 userPrincipalName 中,以便 Active Directory 能够在客户端请求 KerberosServiceTicket 时找到它,并且开这样的票。
-mapUser 指定用户名,代表您在 Active Directory 中的服务。
使用 ktpass 您正在做两件事:为您的服务生成 keytab(以便它可以打开从客户端收到的 Kerberos 票证,即对其进行身份验证),以及在 Active Directory 中注册主体(以便客户端可以在全部)。
在 jaas.config 文件中,您只指定一个主体名称(用于服务),而不是用于客户端。一旦用户登录到 Active Directory 域,他/她就有权为您的服务获取服务票证。
【讨论】:
以上是关于ktpass中mapuser的用途的主要内容,如果未能解决你的问题,请参考以下文章