我正在尝试将本地连接Active Directory到office365用户同步。
在本文档我发现我需要在中创建可解析的后缀userPrincipalName并将旧主体移动到+Kerberos的组合 问题是许多使用 Kerberos 的软件都使用了sAMAccoutName@Realm
Microsoft 的旧文档用于 的使用userPrincipalName。
因此,某些服务和服务用户包含Hadoop 服务userPrincipalName不支持的符号sAMAccoutName
,例如:
userPrincipalName=hive/[email protected]
看起来sAMAccountName像:
sAMAccountName=$XXXXXX-XXXXXXXXXXXX
如果我启用旧版Kerberos主体,我的票证将无法用于带有不受支持符号的服务。
示例:
[hive@host ~]$ klist
Ticket cache: FILE:/tmp/krb5cc_1234
Default principal: [email protected]
是否可以创建Active Directory类似于userPrincipalNameForOffice365用户同步的字段?
答案1
是的,您可以使用其他字段 - 但您必须在同步作业中手动添加它们。ADSync 助手只允许某些字段(如 SMTPProxyAdress)。
有关备用 ID 的更多信息:https://docs.microsoft.com/de-de/azure/active-directory/hybrid/plan-connect-userprincipalname
您甚至可以使用 AFDS 让 AzureAD 直接针对您的本地域进行身份验证(使用备用 ID):https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configuring-alternate-login-id
希望这能有所帮助。一篇 SF 帖子很难涵盖全部答案。