5.4. 受管服务帐户规格
adcli
工具创建的 Managed 服务帐户(MSA)具有以下规格:
- 它们不能有额外的服务主体名称(SPN)。
-
默认情况下,MSA 的 Kerberos 主体保存在名为
<default_keytab_location>.<Active_Directory_domain>
的 Kerberos keytab 中,如/etc/krb5.keytab.production.example.com
。 MSA 名称限制为 20 个字符或更少。最后 4 个字符是来自数字的 3 个随机字符和小写 ASCII 范围(附加到您提供的短主机名)的后缀,使用
!
字符作为分隔符。例如,带有短名称myhost
的主机接收以下规格的 MSA:规格 订阅价值 通用名称(CN)属性
myhost!A2c
NetBIOS 名称
myhost!A2c$
sAMAccountName
myhost!A2c$
production.example.com
AD 域中的 Kerberos 主体myhost!A2c$@PRODUCTION.EXAMPLE.COM