Вопрос: Может ли кто-нибудь объяснить объяснения имен служб Windows (SPN) без упрощения?


Несколько раз я боролся с названиями сервисных принципов, и Объяснение Microsoft просто недостаточно. Я настраиваю приложение IIS для работы в нашем домене, и похоже, что некоторые из моих проблем связаны с моей необходимостью настроить http-специфические SPN в учетной записи службы Windows который запускает пул приложений, на котором размещается мой сайт.

Все это заставило меня понять, что я просто не полностью понимаю отношения между типами услуг (MSSQL, http, host, termsrv, wsman и т. Д.), Аутентификацией Kerberos, учетными записями активного каталога (PCName $), учетными записями служб Windows, SPN , и пользовательскую учетную запись, которую я использую, чтобы попытаться получить доступ к службе.

Может ли кто-нибудь объяснить объяснения имен служб Windows (SPN) без упрощения объяснения?

Бонусные баллы за творческую аналогию, которая будет резонировать с умеренно опытным системным администратором / разработчиком.


25
2018-01-17 20:16


Источник


Посмотрите, пожалуйста, Билл Брайант, «Разработка системы аутентификации: диалог в четырех сценах» удовлетворяет ваш запрос на творческую аналогию. - yarek


Ответы:


Название основного сервиса является концепцией из Kerberos, Это идентификатор конкретной услуги, предлагаемой конкретным хостом в домене аутентификации. Общая форма для SPN service class/fqdn@REALM (например. IMAP/mail.example.com@EXAMPLE.COM). Это также Имена пользователей которые идентифицируют пользователей в форме user@REALM (или user1/user2@REALM, который идентифицирует говорит, для отношения). service class можно свободно рассматривать как протокол для службы. Список классов обслуживания, встроенных в Windows перечислены в этой статье от Microsoft,

Каждый SPN должен быть зарегистрирован в REALM«s Центр распространения ключей (KDC) и выпустил служебный ключ, setspn.exe которая доступна в \Support\Tools папке на установочном носителе Windows или в качестве загрузки набора ресурсов, управляет назначениями SPN на компьютер или другие учетные записи в AD.

Когда пользователь обращается к службе, которая использует Kerberos для аутентификации (услуга «Kerberized»), они представляют зашифрованный билет, полученный от KDC (в среде Windows - контроллер домена Active Directory). Билет зашифрован служебный ключ, Дешифруя билет, служба доказывает, что он обладает ключом для данного SPN. Сервисы, запущенные на хостах Windows, используют ключ, связанный с учетной записью компьютера AD, но для соответствия протоколу Kerberos SPN должны быть добавлены в Active Directory для каждой обслуживаемой Kerberized службы на хосте, за исключением тех встроенных SPN, которые упомянуты выше. В Active Directory SPN хранятся в servicePrincipalName атрибут компьютерного объекта хоста.

Для получения дополнительной информации см. Статья Microsoft TechNet о SPN, Часто задаваемые вопросы по Kerberos Кена Хорнстайна


30
2018-01-17 20:49



+1 - Ты избил меня, написав это и проделав отличную работу, поэтому я решил изменить свой ответ, чтобы добавить несколько деталей, а не писать свои собственные. - Evan Anderson


Ответ yarek был отличным, и я его поддержал, но я также хотел дать вам немного больше информации для Windows по этой теме, или, скорее, исходя из перспективы того, кто более знаком с AD, чем просто Kerberos вообще, просто потому что это тема, которая меня очень интересует.

Я чувствовал, что этот парень отлично справился с этим, и я рекомендую вам прочитать его статью, но здесь вы найдете особенно краткий параграф на ваш вопрос:

«Имена сервисных имен определяют, какие службы запускаются в контексте безопасности учетных записей. Например, некоторые из служб, которые могут иметь компьютеры, - это Файловый сервер / CIFS (Обычная интернет-файловая система), если это контроллер домена, он будет иметь LDAP SPN и SPN для репликации Active Directory и FRN SPN. Названия основных пользователей услуг могут быть определены в учетных записях пользователей, когда Служба или приложение запущено под этим контекстом безопасности пользователей. Обычно эти типы учетных записей пользователей известны как «Учетные записи службы». очень важно понять, что вы понимаете, что имена участников службы ДОЛЖНЫ быть уникальными во всем лесу Active Directory ».

Вся статья здесь: http://blogs.technet.com/b/askds/archive/2008/03/06/kerberos-for-the-busy-admin.aspx


9
2018-01-17 21:19