5.4. Managed Service Account の仕様
adcli ユーティリティーが作成する MSA (Managed Service Account) の仕様は次のとおりです。
- 追加のサービスプリンシパル名 (SPN) を持つことはできません。
-
デフォルトでは、MSA の Kerberos プリンシパルは、
/etc/krb5.keytab.production.example.comのように、<default_keytab_location>.<Active_Directory_domain>という名前の Kerberos キータブに保存されます。 MSA の名前は 20 文字以内に制限されています。最後の 4 文字は、
!の文字を区切り文字として使用して、指定した短いホスト名に追加された、数字と大文字および小文字の ASCII 範囲からの 3 つのランダムな文字の接尾辞です。たとえば、myhostという短い名前のホストは、次の仕様の MSA を受け取ります。仕様 値 共通名 (CN) 属性
myhost!A2cNetBIOS 名
myhost!A2c$sAMAccountName
myhost!A2c$production.example.comAD ドメイン内の Kerberos プリンシパルmyhost!A2c$@PRODUCTION.EXAMPLE.COM
