5.4. Managed Service Account の仕様
adcli
ユーティリティーが作成する MSA (Managed Service Account) の仕様は次のとおりです。
- 追加のサービスプリンシパル名 (SPN) を持つことはできません。
-
デフォルトでは、MSA の Kerberos プリンシパルは、
/etc/krb5.keytab.production.example.com
のように、<default_keytab_location>.<Active_Directory_domain>
という名前の Kerberos キータブに保存されます。 MSA の名前は 20 文字以内に制限されています。最後の 4 文字は、
!
の文字を区切り文字として使用して、指定した短いホスト名に追加された、数字と大文字および小文字の ASCII 範囲からの 3 つのランダムな文字の接尾辞です。たとえば、myhost
という短い名前のホストは、次の仕様の MSA を受け取ります。仕様 値 共通名 (CN) 属性
myhost!A2c
NetBIOS 名
myhost!A2c$
sAMAccountName
myhost!A2c$
production.example.com
AD ドメイン内の Kerberos プリンシパルmyhost!A2c$@PRODUCTION.EXAMPLE.COM