ktpass中mapuser的用途

Question

我只想找出使用ktpass将用户映射到服务的目的是什么。例如，我在Windows上运行ktpass，如下所示：

ktpass -out <keytab location> -princ <host/domain.com> -mapUser useraccount@domain.com -mapOp add .........

当我们将用户映射到-princ时，是否意味着只有"useraccount“可以对服务进行身份验证？我们如何使用-add和-set选项？有什么关系？

我的问题是:我有许多用户希望使用我拥有的服务，并通过kerberos (JASS Krb5LoginModule)进行身份验证，但我不想在jaas.config文件中指定太多用户主体名称。因此，我正在考虑使用SPN来代替，并映射用户。

Answer 1

选项-mapUser useraccount@domain.com告诉ktpass将“主体”存储在活动目录中此用户的属性userPrincipalName中，以便当客户端请求此“主体”的KerberosServiceTicket并发出此类票证时，活动目录能够找到它。

-mapUser指定用户的名称，它在Active Directory中表示您的服务。

使用ktpass你可以做两件事:为你的服务生成keytab (这样它就可以打开从客户端接收的Kerberos票证，即对它们进行身份验证)，以及在Active Directory中注册主体(这样客户端就可以获得服务的票证了)。

在jaas.config文件中，您只需指定一个主体名称(用于服务)，而不是用于客户端。一旦用户登录到Active Directory域，他/她就有权获得您的服务的服务票证。