我对 Active Directory 中的 Kerberos 有一些疑问,特别是有关 ktpass 工具。
我正在使用的示例 AD(一切都处于 2012R2 级别):
活动目录域名:ad.example.com
域控制器Domain Controller:dc.ad.example.com
服务服务器名称:服务器.ad.example.com
服务用户名:[电子邮件保护]
我使用这个作为 ktpass 命令的参考调用:
ktpass /princ SERVICE-NAME/[email protected]
/mapuser [email protected]
/pass * /ptype KRB5_NT_PRICIPAL /crypto AES128-SHA1
我的测试系统上的输出:
Targeting domain controller: dc.ad.example.com
Using legacy password setting method
Successfully mapped SERVICE-NAME/server.ad.example.com to [email protected].
Type the password for SERVICE-NAME/server.ad.example.com:
Type the password again to confirm:
Key created.
现在的问题是:
- /mapuser 参数将 Kerberos 主体映射到用户,这与 执行的操作相同吗
setspn -U -S SERVICE-NAME/server.ad.example.com test-service-user
?还是还有其他映射?如果是这样,如何撤消该映射? - 如果我使用“Active Directory 用户和计算机”工具查找 test-service-user,我会看到“用户登录名”已被替换为“SERVICE-NAME/server.ad.example.com”,这是否意味着每个用户只能有一个 Kerberos 主体?
- 我没有指定 /out 参数 - 但它显示“密钥已创建”,这是否意味着它已经更新了测试服务用户的密码或密钥已存储在其他地方(哪里?)?
- “旧式密码设置方法”是什么意思?