用户的 kerberos 票证中的 PAC 信息是否具有可信域的组成员身份
Can PAC information in user's kerberos ticket have trusted domain's group memberships
我们有一个应用程序可以从 PAC 信息中读取和验证组成员身份。有一种客户情况,其中 PAC 包含来自另一个域的组成员身份(在与主域的林信任中)。而另一个域处于离线状态,因此我们的应用无法验证这些组并失败。
我似乎无法理解这些可能是哪些群体。我尝试将我的主域用户添加到受信任域的 "domain local groups",但这些组未显示在 PAC 中。
不能问客户,因为他们不合作。我想在本地重现问题。
有什么建议吗?
我就此与 Microsoft 支持人员进行了详细讨论。
有兴趣的可以看看这个 MS forum link
我们有一个应用程序可以从 PAC 信息中读取和验证组成员身份。有一种客户情况,其中 PAC 包含来自另一个域的组成员身份(在与主域的林信任中)。而另一个域处于离线状态,因此我们的应用无法验证这些组并失败。
我似乎无法理解这些可能是哪些群体。我尝试将我的主域用户添加到受信任域的 "domain local groups",但这些组未显示在 PAC 中。
不能问客户,因为他们不合作。我想在本地重现问题。
有什么建议吗?
我就此与 Microsoft 支持人员进行了详细讨论。 有兴趣的可以看看这个 MS forum link