5.4. 受管服务帐户规格
adcli
实用程序创建的受管服务帐户(MSA)具有以下规格:
- 它们不能有额外的服务主体名称(SPN)。
-
默认情况下,MSA 的 Kerberos 主体存储在名为
<default_keytab_location>.<Active_Directory_domain>
的 Kerberos keytab 中,如/etc/krb5.keytab.production.example.com
。 MSA 名称限制为 20 个字符或更少。最后 4 个字符是一个由 来自数字和大写 ASCII 范围中的 3 个随机字符组成的后缀,附加到您提供的短主机名中,使用
!
字符作为分隔符。例如,一个带有短名称myhost
的主机会有一个带有以下规则的 MSA:规格 值 通用名称(CN)属性
myhost!A2c
NetBIOS 名称
myhost!A2c$
sAMAccountName
myhost!A2c$
production.example.com
AD 域中的 Kerberos 主体myhost!A2c$@PRODUCTION.EXAMPLE.COM