Я пытаюсь подключиться к местному Active Directory к office365 для usersync.
В эта документация Я обнаружил, что мне нужно сделать разрешимый суффикс в userPrincipalName и переместить наследие Kerberos принцип сочетания sAMAccoutName+@Realm
Проблема в том, что многие керберизованные программы использовали старая документация от Microsoft для использования userPrincipalName.
Таким образом, некоторые службы и пользователи службы имеют символы в userPrincipalName которые не поддерживаются в sAMAccoutName
Например, сервисами hadoop:
userPrincipalName=hive/host@COMPANY.REALM
И sAMAccountName выглядит как:
sAMAccountName=$XXXXXX-XXXXXXXXXXXX
Если я включу устаревшее Kerberos основные мои билеты не работают для услуг с неподдерживаемыми символами.
Пример:
[hive@host ~]$ klist
Ticket cache: FILE:/tmp/krb5cc_1234
Default principal: $XXXXXX-XXXXXXXXXXXX@COMPANY.REALM
Можно ли творить в Active Directory поле как userPrincipalNameForOffice365 для пользовательской синхронизации?
Да, вы можете использовать другие поля, но вам нужно добавить их вручную в задание синхронизации. Помощник ADSync разрешает только определенные поля (например, SMTPProxyAdress).
Подробнее об альтернативных идентификаторах: https://docs.microsoft.com/de-de/azure/active-directory/hybrid/plan-connect-userprincipalname
Вы даже можете использовать AFDS, чтобы позволить AzureAD аутентифицироваться непосредственно в вашем локальном домене (с использованием альтернативных идентификаторов): https://docs.microsoft.com/en-us/windows-server/identity/ad-fs/operations/configuring-alternate-login-id
Надеюсь это поможет. Весь ответ было бы сложно описать в одном сообщении SF.