5.4. 受管服务帐户规格

adcli 工具创建的 Managed 服务帐户(MSA)具有以下规格:

  • 它们不能有额外的服务主体名称(SPN)。
  • 默认情况下,MSA 的 Kerberos 主体保存在名为 <default_keytab_location>.<Active_Directory_domain> 的 Kerberos keytab 中,如 /etc/krb5.keytab.production.example.com
  • MSA 名称限制为 20 个字符或更少。最后 4 个字符是来自数字的 3 个随机字符和小写 ASCII 范围(附加到您提供的短主机名)的后缀,使用 ! 字符作为分隔符。例如,带有短名称 myhost 的主机接收以下规格的 MSA:

    规格订阅价值

    通用名称(CN)属性

    myhost!A2c

    NetBIOS 名称

    myhost!A2c$

    sAMAccountName

    myhost!A2c$

    production.example.com AD 域中的 Kerberos 主体

    myhost!A2c$@PRODUCTION.EXAMPLE.COM