143611
Jun 08, 2020
2165
2
0
Erzeugung von keytab-Datei per ktpass für einen gMSA möglich?
Moin,
ich versuche aktuell, ein Keytab-File per ktpass für einen unserer gMSAs zu erstellen. Es scheint allerdings so, dass für die Erzeugung der Datei zwingend ein Passwort angegeben werden muss - welches beim gMSA ja unbekannt ist.
Nun frage ich mich, ob die Erzeugung für gMSAs generell möglich ist und ich nur auf dem Schlauch stehe, oder ob man zwingend "normale" Accounts für die Erzeugung verwenden muss.
Hintergund: eine unserer Java-Anwendungen läuft in einem (Windows-)Docker-Container, welcher unter den Credentials des gMSAs gestartet wird; nun will eine der verwendeten Java-Komponenten unbedingt ein Keytab-File für die (Kerberos-)Authentifizierung gegen das AD vorgesetzt bekommen, an dessen Erzeugung ich gerade scheitere.
Vielen Dank schon mal im Voraus,
schleeke
P.S. ein ist möglich/ist nicht möglich würde mir schon ausreichen - bin mir gerade nur nicht sicher, ob es noch Sinn macht, an der Problematik weiter zu forschen...
ich versuche aktuell, ein Keytab-File per ktpass für einen unserer gMSAs zu erstellen. Es scheint allerdings so, dass für die Erzeugung der Datei zwingend ein Passwort angegeben werden muss - welches beim gMSA ja unbekannt ist.
Nun frage ich mich, ob die Erzeugung für gMSAs generell möglich ist und ich nur auf dem Schlauch stehe, oder ob man zwingend "normale" Accounts für die Erzeugung verwenden muss.
Hintergund: eine unserer Java-Anwendungen läuft in einem (Windows-)Docker-Container, welcher unter den Credentials des gMSAs gestartet wird; nun will eine der verwendeten Java-Komponenten unbedingt ein Keytab-File für die (Kerberos-)Authentifizierung gegen das AD vorgesetzt bekommen, an dessen Erzeugung ich gerade scheitere.
Vielen Dank schon mal im Voraus,
schleeke
P.S. ein ist möglich/ist nicht möglich würde mir schon ausreichen - bin mir gerade nur nicht sicher, ob es noch Sinn macht, an der Problematik weiter zu forschen...
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 577690
Url: https://administrator.de/contentid/577690
Printed on: April 25, 2024 at 12:04 o'clock
2 Comments
Latest comment
Moin,
es ist leider nach wie vor nicht möglich. In solchen Fällen greift man eben auf User Accounts als Service Accounts zurück. Ist zwar unschön aber funktioniert.
GRuß,
Dani
es ist leider nach wie vor nicht möglich. In solchen Fällen greift man eben auf User Accounts als Service Accounts zurück. Ist zwar unschön aber funktioniert.
GRuß,
Dani
Vielen Dank für den Tipp!
...dann wird's ein Service-Account 😉
Gruß,
schleeke
...dann wird's ein Service-Account 😉
Gruß,
schleeke
