服务主体是客户端唯一标识服务实例的名称,并与服务执行的安全上下文所属的安全主体相关联。要添加服务主体,必须首先创建 Kerberos 域并添加密钥分发中心。
要为 Kerberos 域添加 DNS 服务主体:
- 从配置下拉菜单中,选择配置。
- 选择以下选项卡之一:IP 空间、DNS、设备、TFTP 或服务器。选项卡会记住上次处理的页面,因此请再次选择该选项卡以确保您在配置信息页面上。
- 选择 Kerberos 范围选项卡。在 Kerberos 范围下,单击 Kerberos 范围的名称。
- 单击服务主体选项卡,然后单击新建。
-
在通用下,设置名称、密钥版本号和密码:
- 名称 — 输入 Windows 配置部分的“用户登录名”字段中定义的 Kerberos 服务主体的名称。服务主体名称的典型语法是 primary/instance。主要是用户名或服务名称。实例提供限定主要的信息,例如描述用户凭据的预期用途或主机的完全限定主机名。示例:DNS/<adonis server name>.example.com
- 密钥版本号 — 输入 msDS-KeyVersionNumber 属性值,如 Windows DC 上的ADSI 编辑中所示用于主体的 Kerberos 密钥。如果使用 ktpass 命令,则可在输出 .keytab 文件中找到密钥版本号 (vno#) 值。
- 密码 — 输入主体的 Kerberos 密码。这是在 Windows DC 上创建的 AD 用户帐户密码。
- 在 KDC 下,取消选中覆盖区域 KDC 复选框,以便按顺序自动分发所有可用的 KDC。
- 在切换控制下,根据需要添加注释。
- 单击添加。