ユーザーをサービスにマッピングする目的が何であるかを知りたいだけですktpass。たとえば、私は Windows を使用しており、次ktpassのように実行しています。
ktpass -out <keytab location> -princ <host/domain.com> -mapUser useraccount@domain.com -mapOp add .........
ユーザーを にマップすると、-princ「ユーザー アカウント」のみがサービスを認証できるということですか? -addand-setオプションはどのように使用するのでしょうか。違いはなんですか?
私の問題は次のとおりです。所有しているサービスを使用し、kerberos (JASS Krb5LoginModule) を介して認証したいユーザーが多数いますが、jaas.config ファイルで多くのユーザー プリンシパル名を指定したくありません。そのため、代わりに SPN を使用し、ユーザーをマッピングすることを考えています。
オプション -mapUser useraccount@domain.com は、クライアントがこの「プリンシパル」の KerberosServiceTicket を要求し、そのようなチケットを発行するときに、Active Directory がそれを見つけることができるように、Active Directory 内のこのユーザーの属性 userPrincipalName に「プリンシパル」を格納するように ktpass に指示します。 .
-mapUser は、Active Directory 内のサービスを表すユーザーの名前を指定します。
ktpass を使用すると、サービスのキータブを生成する (クライアントから受信した Kerberos チケットを開く、つまり認証できるようにする) ことと、Active Directory にプリンシパルを登録する (クライアントがサービスのチケットを取得できるようにする) という 2 つのことを行います。
jaas.config ファイルでは、クライアントではなく、1 つのプリンシパル名 (サービス用) のみを指定します。ユーザーが Active Directory ドメインにログインすると、サービスのサービス チケットを取得する権利があります。