使用多个SPN从AD文件创建kerberos keytab

Question

我需要使用三个不同的SPN从创建一个Kerberos keytab文件。

添加不同的SPN没有问题

setspn -a

但是，当我尝试创建一个keytab文件时，

ktpass

只有给定的SPN才会保存到keytab文件中。

如何使用映射到AD帐户的所有SPN创建keytab文件？

Answer 1

您不能使用ktpass创建包含主体所有键的键选项卡。

您必须用ktpass逐个导出它们，并将它们与ktutil (在Linux上)合并。有其他方法或工具可以实现相同的功能，但是本程序在我的机器上工作。

Answer 2

实际上，您可以使用ktpass向单个keytab文件添加多个键，方法是在附加到该文件时同时指定/in和/out参数。第一个命令(它创建.keytab文件)应该只指定/out，但是对于随后的所有添加，您都指定了/in和/out，它们都指向同一个文件，这将把后续的键附加到指定的现有keytab文件中。

在这里找到这个信息(更多的信息和例子也可以在这个链接中找到)：

https://www.ibm.com/mysupport/s/question/0D50z00005q4HNoCAM/how-do-you-add-multiple-spns-to-the-same-keytab-file-for-spnego-or-kerberos-configuration-in-was?language=en_我们

注意-我链接的线程在后续命令中也提到使用/mapop参数；但是，从我的测试来看，这与将多个键附加到同一个keytab的目标无关。/mapop的目的仅仅是指定当ktpass将新的SPN注册到帐户时，是要覆盖还是追加到帐户的SPN列表(如果省略，默认的是追加)。但是，没有必要指定/mapop来将新键附加到现有的keytab文件中。