Red Hat Training

A Red Hat training course is available for RHEL 8

48.3. 添加一个 Kerberos 企业主体别名

您可以在身份管理(IdM)环境中将企业级别名名称与现有 Kerberos 企业主体关联。企业主体别名可以使用任何域后缀,但用户主体名称(UPN)后缀、NetBIOS 名称或可信活动目录林域的域名除外。

注意

在添加或删除企业级别名时,请使用两个反斜杠(\\)转义 @ 符号。否则,shell 将 @ 符号解释为 Kerberos 域名称的一部分,并导致以下错误:

ipa: ERROR: The realm for the principal does not match the realm for this IPA server

流程

  • 将企业主体别名 user@example.com 添加到 user 帐户中:

    # ipa user-add-principal <user> <user\\@example.com>
    --------------------------------
    Added new aliases to user "user"
    --------------------------------
             User login: user
        Principal alias: user@IDM.EXAMPLE.COM, user\@example.com@IDM.EXAMPLE.COM

    要向主机或服务添加一个企业别名,请分别使用 ipa host-add-principalipa service-add-principal 命令。

    如果您使用企业主体名称进行身份验证,请使用 kinit 命令的 -E 选项:

    # kinit -E <user@example.com>
    Password for user\@example.com@IDM.EXAMPLE.COM: