服务主体名称是客户端唯一标识服务实例的名称,并与服务执行的安全上下文所属的安全主体(域中的用户、主机或服务)相关联。
即使正在运行多个子域,也仅需为父域定义服务主体。在父域级别定义的此 DHCP 服务主体将在子域中使用。
要为 Kerberos 域定义 DHCP 服务主体:
-
从配置下拉菜单中,选择配置。
-
选择以下选项卡之一:IP 空间、DNS、设备、TFTP 或服务器。选项卡会记住上次处理的页面,因此请再次选择该选项卡以确保您在配置信息页面上。
-
选择 Kerberos 范围选项卡。在 Kerberos 范围下,单击 Kerberos 范围的名称。
-
单击服务主体选项卡,然后单击新建。
-
在通用下,设置名称、密钥版本号和密码:
- 名称 — 输入 Windows 配置部分的“用户登录名”字段中定义的 Kerberos 服务主体的名称。服务主体名称的典型语法是 primary/instance。主要是用户名或服务名称。实例提供限定主要的信息,例如描述用户凭据的预期用途或主机的完全限定主机名。示例:DHCP/dhcp1.bcn.com
- 密钥版本号 — 输入 msDS-KeyVersionNumber 属性值,如 Windows DC 上的ADSI 编辑中所示用于主体的 Kerberos 密钥。如果使用 ktpass 命令,则可在输出 .keytab 文件中找到密钥版本号 (vno#) 值。
- 密码 — 输入主体的 Kerberos 密码。这是在 Windows DC 上创建的 AD 用户帐户密码。
-
在 KDC 下,如果要将指定 KDC 分配给服务主体,请选中覆盖区域 KDC复选框。取消选中该复选框可按顺序自动分配所有可用的 KDC。
-
在切换控制下,根据需要添加注释。
-
单击添加。