Kerberos v5:AS_REQ 中的 SPN 作为客户端

Kerberos v5:AS_REQ 中的 SPN 作为客户端

是否可以使用服务主体名称,例如 HTTP/[电子邮件保护](不是用户主体名称)作为 AS_REQ 中的客户端向 MS Active Directory 获取 TGT?在这种情况下,请求中应该包含哪种主体类型?

答案1

不,根据 Samba AD 开发人员的决定,它不受 Microsoft AD 支持(Samba 尝试尽可能地模仿 Microsoft AD):

  1. 它曾在 Samba 中启用过:
    提交20dc68050df7b1b0c9d06f8251183a0a6283fcaf
  2. 有一个邮件列表主题讨论它是否与 Windows AD DC 行为匹配:
    https://lists.samba.org/archive/samba-technical/2017-November/123760.html
    https://lists.samba.org/archive/samba-technical/2017-November/123803.html
    https://lists.samba.org/archive/samba-technical/2017-November/124101.html
  3. 之后,Samba 中再次禁用了 SPN:
    提交a6182bd9512e6c78cfd2127790419418ab776be9

另一方面,非 AD 环境实际上并没有区分两者,并且通常接受 KRB5_NT_PRINCIPAL,即使客户端看起来像服务。

相关内容