5 votes

lululoo avatar

Kerberos - Ajout d'un SPN à un utilisateur de domaine

Demandé el 23 de Septembre, 2013
Quand la question a-t-elle été
15077 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Lorsque vous ajoutez un nouveau SPN dans le domaine Kerberos, vous avez la possibilité de mapper le SPN à un utilisateur. En général, je me joins au domaine par le biais de l'authentification intégrée de Windows, ce qui crée un nouveau compte d'ordinateur pour le service, mais maintenant, je voudrais essayer d'utiliser Kerberos sans IWA.

Je pense avoir une compréhension approfondie de la façon dont Kerberos authentifie les clients pour un ordinateur hôte (assez bien pour ce que j'essaie de faire) - mais que fait exactement le mappage d'un SPN à un utilisateur de domaine ?

Edit : Je ne demande pas comment les SPNs fonctionnent en général. Je demande spécifiquement les détails de la mise en correspondance d'un SPN avec un USER de domaine.

Réponse :

  1. Kerberos permettra à cet utilisateur spécifique d'héberger ce service - plutôt que de s'authentifier avec un compte d'ordinateur hôte, le serveur sera joint au domaine Kerberos sous cet utilisateur spécifique. L'authentification se fait par l'intermédiaire de cet utilisateur.

Toute information supplémentaire serait grandement appréciée.

Demandé el 23 de Septembre, 2013 par lululoo

Réponses

Trop de publicités?

6voto

Ryan Ries avatar
Ryan Ries Points 54671

Un compte d'utilisateur AD aura un Service Nom principal uniquement s'il est utilisé pour exécuter un programme de gestion de l'information. service . Ainsi, la plupart des comptes d'utilisateurs AD n'ont pas de nom de principal de service. L'exemple le plus courant de cas où un compte d'utilisateur AD aura des SPN est celui où ce compte d'utilisateur est utilisé comme compte de service pour exécuter MS SQL, IIS, etc. Si un compte d'utilisateur AD est utilisé pour faire fonctionner un service, mais qu'aucun SPN n'est enregistré dans AD, alors ce service ne peut pas utiliser Kerberos.

En revanche, les comptes d'utilisateurs AD auront toujours un numéro d'identification de l'utilisateur. Utilisateur Nom principal.

Les noms de principal de service sont associés au principal de sécurité (utilisateur ou groupes) dans le contexte de sécurité duquel le service s'exécute. Les SPN sont utilisés pour prendre en charge l'authentification mutuelle entre une application cliente et un service. Un SPN est assemblé à partir des informations qu'un client connaît sur un service. Il peut également obtenir des informations auprès d'un tiers de confiance, tel qu'Active Directory. Un nom de principal de service est associé à un compte et un compte peut avoir plusieurs noms de principal de service.

Répondu el 23 de Septembre, 2013 par Ryan Ries (54671 Points )

2voto

MDMarra avatar
MDMarra Points 99815

Vous devez lire la documentation MSDN si vous n'êtes même pas sûr des problèmes que les NPS résolvent. Il est complet et approfondi.

Répondu el 23 de Septembre, 2013 par MDMarra (99815 Points )

2voto

Thecamelcoder avatar
Thecamelcoder Points 11

Pour combler les lacunes, si votre service doit être exécuté dans le contexte d'un compte d'utilisateur du domaine, alors ce compte d'utilisateur doit avoir le SPN.

Le cas le plus fréquent est celui des pools d'applications IIS. Si vous avez plusieurs serveurs IIS pour une application derrière un équilibreur de charge, il se peut que le SPN ne soit pas attribué à un serveur spécifique, mais à un compte d'utilisateur du domaine, et que les pools d'applications IIS s'exécutent dans le contexte de ce compte. Ceci est particulièrement vrai si vous voulez usurper l'identité de l'utilisateur authentifié avec un jeton de niveau "délégation" et accéder à un autre service sur un ordinateur distant.

La façon dont vous obtenez le jeton de l'utilisateur authentifié n'est pas nécessairement importante. Il peut s'agir d'un jeton d'authentification intégré ou d'un jeton que vous créez avec les informations d'identification fournies par les utilisateurs, par exemple avec l'authentification par formulaire. Si vous utilisez la délégation restreinte, vous pouvez usurper l'identité de l'utilisateur sans jeton d'authentification ou mot de passe existant, tout ce dont vous avez besoin est le nom d'utilisateur.

Mais pour que tout cela fonctionne, un SPN est toujours nécessaire.

Répondu el 24 de Septembre, 2013 par Thecamelcoder (11 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X