Linux
從具有多個 SPN 的 AD 文件創建 kerberos 密鑰表
我需要使用三個不同的 SPN 從 Active Directory 創建一個 Kerberos 密鑰表文件。
添加不同的SPN沒有問題
setspn -a
但是當我嘗試創建一個keytab文件時
ktpass
只有給定的 SPN 會被保存到 keytab 文件中。
如何創建一個所有 SPN 都映射到 AD 帳戶的 keytab 文件?
您不能創建
ktpass
包含所有主體密鑰的密鑰表。您必須將它們一一導出
ktpass
並與它們合併ktutil
(在 Linux 上)。還有其他方法或工具可以實現相同的目標,但此過程適用於我的機器。
ktpass
實際上,您可以通過在附加到文件時同時指定 the/in
和/out
params來將多個鍵添加到單個 keytab 文件中。第一個命令(創建 .keytab 文件)應/out
僅指定,但對於所有後續添加,您都指定/in
和/out
,兩者都指向同一個文件,這會將後續鍵附加到指定的現有 keytab 文件中。在此處找到此資訊(也可以在此連結中找到更多資訊和範例):
/mapop
注意 - 我連結的執行緒在後續命令中也提到了使用參數;但是,根據我的測試,這與將多個鍵附加到同一個鍵表的目標無關。的目的/mapop
只是為了指定在將新的 SPN 註冊到帳戶時是要覆蓋還是附加到帳戶的 SPN 列表ktpass
(如果省略,則預設為附加)。但是沒有必要指定/mapop
將新密鑰附加到現有的密鑰表文件中。