问Kerberos委托和身份验证:域更改的影响

EN

我对Kerberos协议很陌生

我们有一个客户，早在2020年，他就在使用一个域--让我们称它为customdom.itm，它有一个用于Kerberos委托的用户帐户krb-test-cd设置，并且这个域是域Active林itm的一部分。

由于他们是一家拥有来自不同国家的许多用户的大公司，他们也有另一个拥有许多子域(和域控制器)的巨大域AD林，作为这个森林的一部分，我们称之为top.abc。这里与我们相关的领域是aust.top.abc，它为Kerberos设置了krb-test-aust用户帐户。

由于itm和top.abc是不同的，因此对于两个krb用户来说，相同的servicePrincipalName安全地设置为HTTP/testloadbalancer.com，而他们的userPrincipalName当然是不同的，即：

1. krb-test-cd uPN is HTTP/testloadbalancer.com@CUSTOMDOM.ITM
2. krb-test-aust uPN is HTTP/testloadbalancer.com@AUST.TOP.ABC

而且，由于https://testloadbalancer.com是客户端的intranet站点的一部分，它们的浏览器不会挑战用户输入他们的AD凭据。

，现在有个问题，

上个月，客户决定将customdom.itm中的用户迁移到一个新的域can.top.abc，该域是森林top.abc的一部分。但是，用户krb-test-cd和其他一些帐户没有被迁移，而且customdom.itm仍然存在于它自己的林中。

由于迁移，这些用户现在每次都要输入他们的AD凭据，并且只能使用旧的域名进行访问，即

customdom\michael和password

我已经在用于Kerberos委托的域中为Kerberos设置了一个新的用户帐户krb-test-can，使用setspn和SPN HTTP/testloadbalancer.com，并且第一次收到了以下错误：

The operation failed because SPN value provided for addition/modification is not unique forest-wide.

接下来，我尝试了ktpass和SPN HTTP/testloadbalancer.com@CAN.TOP.ABC，并得到了另一个错误：

Failed to set property 'servicePrincipalName' to 'host/<host name>' on
Dn 'CN=<CN Name>,CN=Users,DC=<DC Name>,DC=<DC Name>,DC=abc': 0x13.
WARNING: Unable to set SPN mapping data.

后来，我终于了解到SPN已经设置为用户krb-test-aust.。

我的问题是

如何在不影响Kerberos委托给用户krb-test-can的情况下，仍然成功地将SPN HTTP/testloadbalancer.com并最终将UPN HTTP/testloadbalancer.com@CAN.TOP.ABC分配给用户HTTP/testloadbalancer.com？

或者，对于如何使用krb-test-aust用户(用户)来将Kerberos身份验证委托给现在居住在域中can.top.abc中的用户，是否有解决办法，而根本不需要用户krb-test-can？

任何帮助都是非常感谢的。

提前感谢！

一些背景

我们有一个访问管理软件，在这里，我们为上述两个域中的每个域配置了许多身份提供者、2个策略执行点和Kerberos身份验证。

我们只需要将uPN和krb用户的密码注入到相应的PEP中，并且软件不需要密钥选项卡文件。

我们是身份提供者，客户使用一些链接(如https://testloadbalancer.com/xyz/efg_idp/entityid )来创建IdP启动的登录，并被重定向到目标应用程序。