48 votos

Arne Burmeister avatar

¿Puede alguien explicarme por favor Windows nombres de principio de servicio (SPN) sin simplificar en exceso?

Preguntado el 17 de Enero, 2012
Cuando se hizo la pregunta
4504 visitas
Cuantas visitas ha tenido la pregunta
2 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

He luchado con los nombres principales de servicio un par de veces, y la de Microsoft explicación no es suficiente. Yo soy de la configuración de una aplicación de IIS para trabajar en nuestro dominio y parece que algunos de mis problemas están relacionados con mi necesidad de configurar http específico de Spn en la cuenta de servicio de windows que se está ejecutando la aplicación de la piscina de hosting de mi sitio.

Todo esto me ha hecho darme cuenta yo no completamente obtener la relación entre los tipos de servicio (MSSQL, http, host, termsrv, wsman, etc.), La autenticación Kerberos, equipo de active directory de cuentas (PCName$), cuentas de servicios de windows, Spn, y el usuario de la cuenta que estoy usando para intentar acceder a un servicio.

Por favor alguien puede explicar Windows Nombres principales de Servicio (Spn) sin simplificando la explicación?

Puntos de bonificación para un creativo analogía que resuenan con un moderado administrador de sistemas con experiencia/desarrollador.

Preguntado el 17 de Enero, 2012 por Arne Burmeister

Respuestas

¿Demasiados anuncios?

47voto

yarek avatar
yarek Puntos 1113

Un Nombre Principal de Servicio es un concepto de la Kerberos. Es un identificador para un determinado servicio ofrecido por un host en particular dentro de un dominio de autenticación. La forma común para los Spn es service class/fqdn@REALM (por ejemplo IMAP/mail.example.com@EXAMPLE.COM). También hay Nombres Principales de Usuario que identifica a los usuarios, en forma de user@REALM (o user1/user2@REALM, que identifica a un habla-para la relación). El service class libre puede ser pensado como el protocolo para el servicio. La lista de las clases de servicio que están integradas en Windows se enumeran en este artículo de Microsoft.

Cada SPN debe estar registrado en el REALM's Centro de Distribución de Claves (KDC) y emitió una clave de servicio. El setspn.exe utilidad se puede utilizar para asignar Spn a un host en una de Active Directory (que se encuentra en \Support\Tools carpeta en la que Windows instale los medios de comunicación o como un Kit de Recursos de descarga) medio ambiente. Manipula los Spn de las cuentas de equipo en el Dominio.

Cuando un usuario accede a un servicio que usa Kerberos para la autenticación (un "Kerberizadas de servicio") que se presente un vale cifrado obtenido a partir de KDC (en un entorno Windows en un Controlador de Dominio Active Directory). El billete es cifrado con la clave de servicio. Al descifrar el billete el servicio demuestra que posee la clave para el SPN. Los servicios que se ejecutan en los hosts de Windows el uso de la clave asociada con el ANUNCIO de la cuenta de equipo, pero para que sea compatible con el protocolo Kerberos Spn debe agregarse a la de Active Directory para cada kerberizados servicio que se ejecuta en un host. En el Active Directory el Spn se almacenan en la servicePrincipalName atributo de la acogida del objeto de equipo.

Para obtener más información, véase: artículo de Microsoft TechNet en SPN, Ken Hornstein del Kerberos FAQ

Respondido el 17 de Enero, 2012 por yarek (1113 Puntos )

13voto

Ryan Ries avatar
Ryan Ries Puntos 33449

yarek la respuesta fue genial, y me upvoted, pero también quería darle un poco más específicos de Windows información sobre el tema, o más bien venida desde la perspectiva de alguien que está más familiarizado con el ANUNCIO que acaba de Kerberos en general, no sólo porque este es un tema que me interesa mucho.

Me sentí como este chico hizo un excelente trabajo explicando, y les recomiendo leer su artículo, pero es aquí especialmente concisa párrafo a la derecha hacia a su pregunta:

"Los Nombres Principales de servicio definir qué servicios se ejecutan en la seguridad de las cuentas de contexto. Por ejemplo, algunos de los servicios que un equipo puede tener son el servidor de Archivos / CIFS (Common Internet File System), si es un controlador de dominio que va a tener un SPN de LDAP y Active Directory Replicación de SPN, y FRS SPN. Los Nombres Principales de servicio puede ser definido en cuentas de usuario cuando un Servicio o aplicación que se está ejecutando en virtud de que los usuarios de un contexto de Seguridad. Normalmente, estos tipos de cuentas de usuario son conocidas como "Cuentas de Servicio". Es muy importación que usted entiende que los Nombres Principales de Servicio DEBE ser único en todo el bosque de Active Directory."

El artículo completo está aquí: http://blogs.technet.com/b/askds/archive/2008/03/06/kerberos-for-the-busy-admin.aspx

Respondido el 17 de Enero, 2012 por Ryan Ries (33449 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X