Active-Directory
在 Win/AD 中,kerberos 身份驗證是否要求服務帳戶相同?
我正在嘗試隔離我看到在 WireShark 跟踪中返回的 KRB5KDC_ERR_BADOPTION (13) 的原因。
我設置了一個 SPN 以將 xxx/server.fqdn:port 與目標伺服器上執行 xxx 服務的域帳戶相關聯(我們稱之為 domain\target)。將充當代理的伺服器服務在不同的服務帳戶(例如域\代理)上執行。這是允許的嗎?還是所有服務都需要在同一個服務帳戶下執行(即目標服務和中間人服務使用的服務帳戶使用相同的 AD 服務帳戶執行,並為這兩個服務設置適當的 SPN關聯到同一個 AD 服務帳戶)
不,它們不需要相同。但它們確實需要在同一個域中。請參閱http://blogs.technet.com/b/askds/archive/2008/06/13/understanding-kerberos-double-hop.aspx>。您可能會發現<http://blogs.technet.com/b/tristank/archive/2007/06/18/kdc-err-badoption-when-attempting-constrained-delegation.aspx很有用。