我需要將 Active Directory 中使用者的服務主體名稱從 KDC 所在的 Linux 環境對應到 Windows。
有沒有辦法從 Linux 映射 AD 用戶而不是使用映射它們設定SPN在Windows環境下?
嘗試過的解決方案:
在 Linux 機器中設定 Krb5-conf 並在 Linux 機器中安裝 krb5-usr 作為客戶端。
在發出命令以使用管理員使用者為使用者新增主體名稱時,出現以下錯誤:
testuser@linux106:~$ kadmin -p adminuser/[email protected] -q "addprinc user1/[email protected]"
Authenticating as principal adminuser/[email protected] with password.
kadmin: Client not found in Kerberos database while initializing kadmin interface
請提供意見以實現這一目標,或告訴我我是否誤解了。
答案1
初始化 kadmin 介面時在 Kerberos 資料庫中找不到客戶端意味著校長管理員使用者/[電子郵件受保護]您正在嘗試透過不存在進行身份驗證。
您可以透過執行來避免身份驗證kadmin.local在 KDC 伺服器上
$ sudo kadmin.local
然後,使用列表王子,新增主程式,德爾普林克...管理您的 Kerberos 資料庫主體。
有沒有辦法從 Linux 映射 AD 用戶?
無法從 Linux 映射 AD 用戶,因為映射 AD_user <--> AD_principal 僅在 AD 伺服器上有意義。 (*)
(*) 請注意,Kerberos 資料庫中沒有 Kerberos_users,只有 Kerberos_principals。 (或 Kerberos_user = Kerberos_principal 如果您願意,無論如何您無法將主體對應到使用者)