從具有多個 SPN 的 AD 文件創建 kerberos 密鑰表

我需要使用三個不同的 SPN 從 Active Directory 創建一個 Kerberos 密鑰表文件。

添加不同的SPN沒有問題

setspn -a

但是當我嘗試創建一個keytab文件時

ktpass

只有給定的 SPN 會被保存到 keytab 文件中。

如何創建一個所有 SPN 都映射到 AD 帳戶的 keytab 文件？

您不能創建ktpass包含所有主體密鑰的密鑰表。

您必須將它們一一導出ktpass並與它們合併ktutil（在 Linux 上）。還有其他方法或工具可以實現相同的目標，但此過程適用於我的機器。

ktpass實際上，您可以通過在附加到文件時同時指定 the/in和/outparams來將多個鍵添加到單個 keytab 文件中。第一個命令（創建 .keytab 文件）應/out僅指定，但對於所有後續添加，您都指定/in和/out，兩者都指向同一個文件，這會將後續鍵附加到指定的現有 keytab 文件中。

在此處找到此資訊（也可以在此連結中找到更多資訊和範例）：

https://www.ibm.com/mysupport/s/question/0D50z00005q4HNoCAM/how-do-you-add-multiple-spns-to-the-same-keytab-file-for-spnego-or-kerberos-configuration-in-was?language=en_US

/mapop注意 - 我連結的執行緒在後續命令中也提到了使用參數；但是，根據我的測試，這與將多個鍵附加到同一個鍵表的目標無關。的目的/mapop只是為了指定在將新的 SPN 註冊到帳戶時是要覆蓋還是附加到帳戶的 SPN 列表ktpass（如果省略，則預設為附加）。但是沒有必要指定/mapop將新密鑰附加到現有的密鑰表文件中。

引用自：https://serverfault.com/questions/584930