ktpass에서 mapuser의 목적

Question

ktpass을 사용하여 서비스에 사용자를 매핑하는 목적이 무엇인지 알아보고 싶습니다. 예를 들어 내가 Windows에서 오전이 같은 ktpass을 실행

ktpass -out <keytab location> -princ <host/domain.com> -mapUser useraccount@domain.com -mapOp add .........

우리가 -princ에 사용자가 단지 "useraccount"서비스를 인증 할 수 있음을 의미합니까이란? -add 및 -set 옵션은 어떻게 사용합니까? 차이점은 무엇입니까?

내 문제는 다음과 같습니다. 많은 사용자가 내가 갖고있는 서비스를 사용하고 kerberos (JASS Krb5LoginModule)를 통해 인증하려고하지만 jaas.config 파일에 많은 사용자 원칙 이름을 지정하고 싶지 않습니다. 그래서 대신 SPN을 사용하고 사용자를 매핑 할 생각입니다.

Answer 1

옵션 -mapUser useraccount@domain.com은 ktpass가 Active Directory에서이 사용자의 userPrincipalName 특성에 'principal'을 저장하도록 지시하여 클라이언트가이 'principal'에 대한 KerberosServiceTicket을 요청할 때 Active Directory에서 찾을 수 있도록합니다. 그런 표를 발행하십시오.

-mapUser는 Active Directory에서 서비스를 나타내는 사용자 이름을 지정합니다.

ktpass를 사용하면 서비스의 키탭 생성 (클라이언트에서받은 Kerberos 티켓을 열 수 있도록 인증, 즉 인증)과 Active Directory에 프린시 펄 등록 (클라이언트가 서비스 티켓을받을 수 있도록) 조금도).

jaas.config 파일에는 서비스가 아닌 하나의 핵심 이름 만 지정됩니다. 사용자가 Active Directory 도메인에 로그인하면 서비스 티켓을받을 권리가 있습니다.