我需要将 Active Directory 中用户的服务主体名称从我的 KDC 所在的 Linux 环境映射到 Windows。
有没有办法从 Linux 映射 AD 用户,而不是使用设置SPN在 Windows 环境中?
尝试的解决方案:
在Linux机器上配置了Krb5-conf,并在Linux机器上安装krb5-usr作为客户端。
在使用管理员用户发出为用户添加主体名称的命令时,出现此错误:
testuser@linux106:~$ kadmin -p adminuser/[email protected] -q "addprinc user1/[email protected]"
Authenticating as principal adminuser/[email protected] with password.
kadmin: Client not found in Kerberos database while initializing kadmin interface
请提供输入以实现它或告诉我我是否误解了。
答案1
初始化 kadmin 接口时未在 Kerberos 数据库中找到客户端意味着校长管理员用户/[电子邮件保护]您尝试验证的身份不存在。
您可以通过执行来避免身份验证本地kadmin在 KDC 服务器上
$ sudo kadmin.local
然后,使用列表原则,添加原则,德尔普林茨... 管理您的 Kerberos 数据库主体。
有没有办法从 Linux 映射 AD 用户?
无法从 Linux 映射 AD 用户,因为映射 AD_user <--> AD_principal 仅在 AD 服务器上有意义。(*)
(*)请注意,Kerberos 数据库中没有 Kerberos_users,只有 Kerberos_principals。(或者,如果您愿意,Kerberos_user = Kerberos_principal,无论如何您都无法将主体映射到用户)