AS-REQ 的 cname-string 部分可以包含域吗?
May the cname-string part of an AS-REQ contain the domain?
在Windows客户端和Active Directory服务器之间的网络捕获中,我看到字段cname-string包含user@domain.com(准确地说是字段as-req -> req-body -> cname -> cname-string -> CNameString).
根据第 5.2.2 节中的 RFC 4130。领域和主体名称:
name-string:
This field encodes a sequence of components that form a name, each
component encoded as a KerberosString. Taken together, a
PrincipalName and a Realm form a principal identifier. Most
PrincipalNames will have only a few components (typically one or
two).
也在第 5.3 节中。门票:
cname
This field contains the name part of the client's principal
identifier.
对我来说,这意味着 cname 应该只包含没有域的用户名。域是通过领域获得的,它们一起构成主体标识符(基本上是在这里解释 RFC)。
我错了吗?您是否遇到过域是 cname 一部分的设置?目标服务是如何处理的?我看到领域再次添加到 cname,结果是 user@domain.com@domain.com,这显然会阻止正确匹配。
至少有一种情况会发生这种情况:企业负责人。您应该看到设置了 NT-ENTERPRISE 和 CANONICALIZE 位。 AD 包含所提供企业主体的 upnSuffix。另请参阅 RFC 6806。
在Windows客户端和Active Directory服务器之间的网络捕获中,我看到字段cname-string包含user@domain.com(准确地说是字段as-req -> req-body -> cname -> cname-string -> CNameString).
根据第 5.2.2 节中的 RFC 4130。领域和主体名称:
name-string: This field encodes a sequence of components that form a name, each component encoded as a KerberosString. Taken together, a PrincipalName and a Realm form a principal identifier. Most PrincipalNames will have only a few components (typically one or two).
也在第 5.3 节中。门票:
cname This field contains the name part of the client's principal identifier.
对我来说,这意味着 cname 应该只包含没有域的用户名。域是通过领域获得的,它们一起构成主体标识符(基本上是在这里解释 RFC)。
我错了吗?您是否遇到过域是 cname 一部分的设置?目标服务是如何处理的?我看到领域再次添加到 cname,结果是 user@domain.com@domain.com,这显然会阻止正确匹配。
至少有一种情况会发生这种情况:企业负责人。您应该看到设置了 NT-ENTERPRISE 和 CANONICALIZE 位。 AD 包含所提供企业主体的 upnSuffix。另请参阅 RFC 6806。