Active Directory: что соединяет KDC ' s принципалов к записям LDAP?
Что связывает принципалов KDC с соответствующими записями LDAP в Active Directory? Например, мой принципал KC может быть
Name[/Instance]@REALM
john/admin@company.com
, а моя запись LDAP может быть:
dn: cn=john,dc=company,dc=com
objectclass: somewhere
, но как Active Directory «соединяет» их? Записи SRV? Например, когда я вхожу в систему (т. Е. Использую Kerberos), как AD сопоставляет мой принципал Kerberos с моей записью LDAP?
ОБНОВЛЕНИЕ: Эта статья MSDN приближается к ответу на вопрос, но не отвечает: Ясно объясните процесс: «Центр распространения ключей (KDC) реализован как служба домена. Он использует Active Directory в качестве своей базы данных учетных записей и глобальный каталог для направления перенаправлений на KDC в других доменах. KDC для домена - это расположен на контроллере домена, как и Active Directory для домена. Обе службы [sic? вероятно, имелось в виду, что 3 службы Kerberos: AS, TGS и сброс пароля] запускаются автоматически локальным администратором безопасности (LSA) контроллера домена и выполняются как часть процесса LSA. "
Если вас больше интересует, где объект, присоединенный к AD, ищет область для аутентификации, да, это записи SRV.
В корневом пространстве имен домена есть _tcp_ldap, _tcp_gc (для интерфейса LDAP глобального каталога AD) _tcp_kerberos и _tcp_ktpasswd Записи SRV в качестве локаторов служб для всего, что использует DNS домена для разрешения имен. Должен быть один из каждого для каждого контроллера домена в домене. Два из них, связанные с Kerberos, также имеют UDP SRV
.Кроме того, существуют записи SRV для конкретных сайтов. Если домен сегментирован на сайты по IP-подсетям, по умолчанию контроллеры домена в этом диапазоне IP-адресов будут регистрировать один и тот же набор SRV в подзоне _sitename. Если в пределах границ сайта нет контроллеров домена, все они будут регистрировать SRV в этой подзоне DNS, хотя это может быть изменено с помощью объекта групповой политики.
Наконец, для Active Directory существует зона _msdcs.[domainFQDN], в которой есть еще одна копия всех вышеперечисленных SRV. Это то, что клиенты Windows используют в первую очередь при идентификации служб.