是否可以使用服务主体名称,例如 HTTP/[电子邮件保护](不是用户主体名称)作为 AS_REQ 中的客户端向 MS Active Directory 获取 TGT?在这种情况下,请求中应该包含哪种主体类型?
答案1
不,根据 Samba AD 开发人员的决定,它不受 Microsoft AD 支持(Samba 尝试尽可能地模仿 Microsoft AD):
- 它曾在 Samba 中启用过:
提交20dc68050df7b1b0c9d06f8251183a0a6283fcaf - 有一个邮件列表主题讨论它是否与 Windows AD DC 行为匹配:
https://lists.samba.org/archive/samba-technical/2017-November/123760.html,
https://lists.samba.org/archive/samba-technical/2017-November/123803.html,
https://lists.samba.org/archive/samba-technical/2017-November/124101.html - 之后,Samba 中再次禁用了 SPN:
提交a6182bd9512e6c78cfd2127790419418ab776be9
另一方面,非 AD 环境实际上并没有区分两者,并且通常接受 KRB5_NT_PRINCIPAL,即使客户端看起来像服务。