如果我将mapuser选项与ktpass命令一起使用并允许更改userprincipalname,那么它将适用于那个spn。我无法将其配置为能够为一个AD服务ID使用多个spns。 AD帐户已设置为委派。
jaas.conf snipit
com.sun.security.jgss.krb5.initiate {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=false
useKeyTab=true
keyTab="<path>/test5a.keytab"
principal="<fqdn>"
storeKey=true
doNotPrompt=true;
};
com.sun.security.jgss.krb5.accept {
com.sun.security.auth.module.Krb5LoginModule required
useTicketCache=false
useKeyTab=true
keyTab="<path>/test5a.keytab"
principal="HTTP/<fqdn>"
storeKey=true
doNotPrompt=true;
};
如果我将upn更改为除我正在使用的spn之外的任何内容都失败,并且无法在kerberos数据库中找到用户。我错过了能够为多个spns使用一个AD服务帐户吗?
答案 0 :(得分:0)
SPN也链接到密钥表,因此您需要为每个SPN生成一个新的密钥表文件。