Регистрация Войти
Рейтинг:0
Gonzalo Etse avatar Server

Когда требуется mapUser -

флаг ad
Gonzalo Etse

я не уверен, что понимаю когда & Почему Нужен mapUser.

  • Когда вы генерируете keytab с ктпасс вы можете сопоставить Service Principal с пользователем остроумия mapUser. Затем вы можете кинит к Сервису с другого компьютера, используя этот keytab.

  • При попытке сделать то же самое с ктутилс с Linux-машины это невозможно. Вы просто генерируете keytab для пользователя и кинит пользователю.

Настройка SPN следующая:

  • Пользователь службы: SQLservice
  • Группа политик обслуживания
  • Пользователь из OU SQLusers: sqluser
  • SPN -S MYSSQLSvc/SQLservice.mynetwork.net SQLuser

Я следовал руководству, объясняющему, что SPN должны быть установлены вокруг этой архитектуры.

26
0 + 0
spn
флаг cn
Greg Askew
В документации указано, что mapuser предназначен для создания файлов ключей для платформ, отличных от Windows. «Чтобы создать файл .keytab Kerberos для хост-компьютера, на котором не установлена ​​операционная система Windows, необходимо сопоставить принципала с учетной записью и установить пароль участника хоста». https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/ktpass
0
Ответить
Gonzalo Etse avatar
флаг ad
Gonzalo Etse
Спасибо! Я предполагаю, что мой вопрос больше касается того, почему это *не* требуется при создании keytab с машины, отличной от Windows, с помощью `ktutils`, например: - `добавить_запись -пароль -p -k 1 -e aes128-sha1` - Документ: https://docs.tibco.com/pub/spotfire_server/7.8.0/doc/html/TIB_sfire_server_tsas_admin_help/GUID-27726F6E-569C-4704-8433-5CCC0232EC79.html Мне также не удалось подключиться к имени участника-службы, вместо этого меня просят сгенерировать keytab непосредственно к имени участника-пользователя.
0
Ответить
флаг cn
Greg Askew
/mapuser зависит от AD. Он обновляет атрибут userPrincipalName учетной записи. https://stackoverflow.com/questions/21598421/цель-из-mapuser-in-ktpass
0
Ответить
Gonzalo Etse avatar
флаг ad
Gonzalo Etse
Еще раз спасибо, Грег. Я понимаю это, но все же я не понимаю, как вы могли бы сделать то же самое при использовании ktutils вместо ktpass (имеется в виду создание keytab из linux, а не из контроллера домена). Я исследовал больше и думаю, что решение может заключаться в сопоставлении службы с пользователем при создании имени участника-службы, как в этом видео: https://www.youtube.com/watch?v=F1HWdPTQZMM&list=PLtnrQHVKb9k3rhP_Aui2XPMR8hdWwN8uS&index=2. Во втором видео он напрямую кинится как пользователь вместо SPN.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.