在 Win/AD 中,kerberos 身份验证是否要求服务帐户相同?

在 Win/AD 中,kerberos 身份验证是否要求服务帐户相同?

我正在尝试找出在 WireShark 跟踪中看到的 KRB5KDC_ERR_BADOPTION (13) 的原因。

我已设置 SPN,将 xxx/server.fqdn:port 与 xxx 服务在目标服务器上运行的域帐户关联(我们称之为 domain\target)。将充当委托人的服务器服务在不同的服务帐户(例如 domain\delegate)上运行。这允许吗?还是所有服务都需要在同一个服务帐户下运行(即,目标服务和中间人服务所使用的服务帐户使用同一个 AD 服务帐户运行,并为与同一个 AD 服务帐户关联的两个服务设置适当的 SPN)

答案1

相关内容