4
KerberosTicket - UPN
Hallo zusammen,
ich stehe grade auf der Leitung und hoffe jemand kann mich "runterschupsen" :D
Wir haben eine ActiveDirectory Domain : contoso.intern
Wir haben eine MailDomain : contoso.com
Unser UPN der User lautet: User1@contoso.com
Prä-Windows2000: Contoso\User1
Im Kerberos Ticket steht (klist)
Client : User1 @ contoso.intern
Für mein SSO an einer Anwendung benötige ich im Kerberos Ticket aber: user1@contoso.com
Geht das?
Die Anwendung kann leider kein erweitertes UPN Mapping.
Grüße
ich stehe grade auf der Leitung und hoffe jemand kann mich "runterschupsen" :D
Wir haben eine ActiveDirectory Domain : contoso.intern
Wir haben eine MailDomain : contoso.com
Unser UPN der User lautet: User1@contoso.com
Prä-Windows2000: Contoso\User1
Im Kerberos Ticket steht (klist)
Client : User1 @ contoso.intern
Für mein SSO an einer Anwendung benötige ich im Kerberos Ticket aber: user1@contoso.com
Geht das?
Die Anwendung kann leider kein erweitertes UPN Mapping.
Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670696
Url: https://administrator.de/forum/kerberosticket-upn-670696.html
Ausgedruckt am: 21.02.2025 um 18:02 Uhr
4 Kommentare
Neuester Kommentar
Moin @FaHi22,
anscheinend ja, aber das was ich bisher dazu gefunden habe, sieht sehr sehr umständlich aus. 😬
Du müsstest zuerst die "contoso.com" in der Gesamtstuktur des bisherigen AD's als zusätzliche Domäne anlegen.
Danach müsste man die bisherigen Benutzerkonten in die neue Domäne umziehen.
Danach müssten die SPN, Kerberos und DNS Konfiguration angepasst und auch die Benutzerprofile aktualisiert werden.
Also alles in allem schon eine etwas grössere Geschichte. 😔
Zumindest nach den Infos die ich bisher dazu gefunden habe.
Gruss Alex
Geht das?
anscheinend ja, aber das was ich bisher dazu gefunden habe, sieht sehr sehr umständlich aus. 😬
Du müsstest zuerst die "contoso.com" in der Gesamtstuktur des bisherigen AD's als zusätzliche Domäne anlegen.
Danach müsste man die bisherigen Benutzerkonten in die neue Domäne umziehen.
Danach müssten die SPN, Kerberos und DNS Konfiguration angepasst und auch die Benutzerprofile aktualisiert werden.
Also alles in allem schon eine etwas grössere Geschichte. 😔
Zumindest nach den Infos die ich bisher dazu gefunden habe.
Gruss Alex
Könnte das in eigenen Worten schreiben, aber von chatgpt klingt das erstmal korrekt.
Ändere den UPN des Benutzers im Active Directory:
Voraussetzung: contoso.com muss als alternative UPN-Suffix-Domain im Active Directory registriert sein. Das kannst du in der Active Directory-Domäneneinstellungen hinzufügen:
Öffne Active Directory-Domänen und -Vertrauensstellungen.
Rechtsklick auf den Domänennamen → Eigenschaften.
Trage contoso.com als alternative UPN-Suffix ein.
Stelle sicher, dass der UPN des Benutzers auf user1@contoso.com gesetzt ist.
Überprüfe im Active Directory Benutzer- und Computer (ADUC):
Öffne die Benutzer-Eigenschaften.
Gehe zum Tab Konto.
Ändere den UPN unter Benutzeranmeldename auf user1@contoso.com.
Falls die Lösung so funktioniert, kann ein Skript die UPN für mehrere Benutzer ändern.
Ändere den UPN des Benutzers im Active Directory:
Voraussetzung: contoso.com muss als alternative UPN-Suffix-Domain im Active Directory registriert sein. Das kannst du in der Active Directory-Domäneneinstellungen hinzufügen:
Öffne Active Directory-Domänen und -Vertrauensstellungen.
Rechtsklick auf den Domänennamen → Eigenschaften.
Trage contoso.com als alternative UPN-Suffix ein.
Stelle sicher, dass der UPN des Benutzers auf user1@contoso.com gesetzt ist.
Überprüfe im Active Directory Benutzer- und Computer (ADUC):
Öffne die Benutzer-Eigenschaften.
Gehe zum Tab Konto.
Ändere den UPN unter Benutzeranmeldename auf user1@contoso.com.
Falls die Lösung so funktioniert, kann ein Skript die UPN für mehrere Benutzer ändern.
Hi @Marabunta,
vielen Dank. Das Thema UPN Umstellung habe ich schon hinter mir. Das hat auch geklappt (ziemlich genau so wie von dir beschrieben nur via PS-Scripts)
Es geht ja nun darum, dass dieser UPN nicht im Kerberos Ticket erscheint, sondern noch immer user1@contoso.intern
vielen Dank. Das Thema UPN Umstellung habe ich schon hinter mir. Das hat auch geklappt (ziemlich genau so wie von dir beschrieben nur via PS-Scripts)
Es geht ja nun darum, dass dieser UPN nicht im Kerberos Ticket erscheint, sondern noch immer user1@contoso.intern
Moin,
UPN Suffix ist ungleich REALM...
https://docs.active-directory-wp.com/Technical_details/Active_Directory_ ...
Bitte auf keinem Fall auf der PROD Umgebung testen!
Gruß,
Dani
UPN Suffix ist ungleich REALM...
https://docs.active-directory-wp.com/Technical_details/Active_Directory_ ...
Bitte auf keinem Fall auf der PROD Umgebung testen!
Gruß,
Dani
