在Windows客户端和Active Directory服务器之间的网络捕获中,我看到字段cname-string包含user@domain.com(确切地说,它是字段as-req - > req-body - > cname - > cname-string - > CNameString)。
根据第5.2.2节中的RFC 4130。领域和PrincipalName:
名称字符串: 该字段对形成名称的一系列组件进行编码 组件编码为KerberosString。一起来,一个 PrincipalName和Realm构成主体标识符。最 PrincipalNames只有几个组件(通常是一个或 二)。
同样在第5.3节。门票:
CNAME 该字段包含客户端主体的名称部分 标识符
对我而言,这意味着cname应该只包含没有域名的用户名。域名是通过领域获得的,它们共同形成了主要标识符(这里基本上是对RFC的解释)。
我错了吗?您是否遇到过域名是cname一部分的设置?目标服务是如何处理的?我看到领域再次添加到cname,结果是user @ domain.com @ domain.com,这显然阻止了正确的匹配。
答案 0 :(得分:1)
至少有一种情况可能发生:企业负责人。您应该看到NT-ENTERPRISE somehwere以及CANONICALIZE位设置。 AD包含所提供企业主体的upnSuffix。另请参阅RFC 6806。