Menu Close

4.4. Managed Service Account の仕様

adcli ユーティリティーが作成する MSA (Managed Service Account) の仕様は次のとおりです。

  • 追加のサービスプリンシパル名 (SPN) を持つことはできません。
  • デフォルトでは、MSA の Kerberos プリンシパルは、/etc/krb5.keytab.production.example.com のように、<default_keytab_location>.<Active_Directory_domain> という名前の Kerberos キータブに保存されます。
  • MSA の名前は 20 文字以内に制限されています。最後の 4 文字は、! の文字を区切り文字として使用して、指定した短いホスト名に追加された、数字と大文字および小文字の ASCII 範囲からの 3 つのランダムな文字の接尾辞です。たとえば、myhostという短い名前のホストは、次の仕様の MSA を受け取ります。

    仕様

    共通名 (CN) 属性

    myhost!A2c

    NetBIOS 名

    myhost!A2c$

    sAMAccountName

    myhost!A2c$

    production.example.com AD ドメイン内の Kerberos プリンシパル

    myhost!A2c$@PRODUCTION.EXAMPLE.COM