第 5 章 使用受管服务帐户访问 AD
Active Directory(AD)Managed Service Accounts(MSA)允许您在 AD 中创建与特定计算机对应的帐户。您可以将 MSA 以特定用户主体的形式连接到 AD 资源,而无需将 RHEL 主机加入到 AD 域中。
本节讨论以下主题:
5.1. 受管服务帐户的好处
如果要允许 RHEL 主机在没有加入的情况下访问 Active Directory(AD)域,您可以使用 Managed Service Account(MSA)访问该域。MSA 是 AD 中的帐户,对应于一个特定的计算机,作为特定用户主体,可用于连接到 AD 资源。
例如,如果 AD 域 production.example.com 与 lab.example.com AD 域具有单向信任关系,则适用以下条件:
-
实验域信任production域中的用户和主机。 -
生产域 不信任实验域中的用户和主机。
这意味着主机加入了 实验 域,如 client.lab.example.com,无法通过信任从 生产 域访问资源。
如果要为 client.lab.example.com 主机创建一个例外,您可以使用 adcli 实用程序为 production.example.com 域中的 客户端主机 创建 MSA。通过与 MSA 的 Kerberos 主体进行身份验证,您可以从 客户端主机 在 production 域中执行安全 LDAP 搜索。
