在 Active Directory 中,什么将 KDC 的主体与其对应的 LDAP 条目联系起来?例如,我的 KC 主体可能是
Name[/Instance]@REALM
john/[email protected]
我的 LDAP 条目可能是:
dn: cn=john,dc=company,dc=com
objectclass: somewhere
但是 Active Directory 如何“连接”这两者?SRV 记录?例如,当我登录(即使用 Kerberos)时,AD 如何将我的 Kerberos 主体与我的 LDAP 条目匹配?
更新:这篇 MSDN 文章几乎回答了这个问题,但没有清楚地解释流程:“密钥分发中心 (KDC) 是作为域服务实现的。它使用 Active Directory 作为其帐户数据库,并使用全局目录将引用定向到其他域中的 KDC。域的 KDC 位于域控制器上,域的 Active Directory 也是如此。这两项服务 [原文如此?可能意味着 Kerberos 的 3 项服务:AS、TGS 和密码重置] 由域控制器的本地安全机构 (LSA) 自动启动,并作为 LSA 进程的一部分运行。”
答案1
名为血清型蛋白(服务提供商名称)主要 HOST
答案2
如果您更想知道加入 AD 的对象在哪里寻找要进行身份验证的领域,是的,它是 SRV 记录。
在域的根命名空间中,有_tcp_ldap
、_tcp_gc
(用于 AD 全局目录 LDAP 接口)_tcp_kerberos
和_tcp_ktpasswd
SRV 记录作为使用域 DNS 进行名称解析的任何内容的服务定位器。域中的每个 DC 都应该有一个。两个与 Kerberos 相关的记录也有 UDP SRV
此外,还有特定于站点的 SRV 记录。如果域按 IP 子网划分为站点,则默认情况下,该 IP 范围内的 DC 将在一个_sitename
子区域中注册同一组 SRV。如果站点边界内没有 DC,则所有 DC 都将在该 DNS 子区域中注册 SRV,尽管这可以通过 GPO 进行更改。最后,对于 Active Directory,有一个_msdcs.[domainFQDN]
区域,其中还有上述所有 SRV 的另一个副本。这是 Windows 客户端在识别服务时首先使用的内容。