サーバープリンシパル名[SPN]

文字通りすべてのKerberos問題の99%は不正確の、行方不明、または重複したServicePrincipalName (SPN)のまわりで回転する。 正直なところ、SPNの概念は多くの人々が理解しことができるようにそれらがとてもにくいなぜによってか私が頻繁に迷うほど簡単である。 私は事を複雑にさせるかわりに簡単な言葉で考えるのを好む。 これは私の教師が時概念を説明する可能な最も容易な問題を選ぶのが常であった私の代数学1日からの持ち越しである。 そのプログラム(プロセス)を識別するのに€使用される€âのœusernameâのとしてSPNについてusernamesまたはパスワードの取り引き考えなさい。 そしてyouâの€™reはただâのœusernameâのを使用してこのプログラムに€話すことを€割り当てた。 期間。 簡単! わかりました、簡単なほとんど井戸。 右のものどんなユーザー名(SPN)であるか。 そして私達はどこでそれを置くか。 私達は2部および時折3部にSPNを裂いた: âのœserviceの€typeâの€およびâのœhostの€nameâの€ある(および時々âの€œportâの€のâの€¦がしかし通常)。 Letâの€™sは私がBrianInfoServiceと呼ばれたプロセスに接続したいと思ったことを言う。 そして私の関係を導くDNS名はblah.overthere.comだった。 この不可解なサービスのデザイナーがブライアンのâのœserviceのtypeâの€を私€都合するかもしれないように。 従ってSPNはBRIAN/blah.overthere.comである。 私達はどこでそれを置くか。 、簡単簡単、簡単。 私のBrianInfo.exeプロセスがâのœDOMAINNAME \ someAccountâの€の下で€動けばweâの€™dはâのœDOMAINNAME \ someAccountâのの€BRIAN/blah.overthere.com SPNを€置いた。 私のプロセス(BrianInfo.exe)がâのœNetworkのServiceâの、âのœLocal€ Serviceâの€、またはâの€€そのプロセスを動かしている€コンピュータ記述€のœLocal Systemâの€のそしてIâの™d一定BRIAN/blah.overthere.com自体のような何かとして動いたら。 あなたのプログラムをそれを元のユーザー名から取除き、新しい記述の置く必要性動かしているユーザー名を変えれば。
それはなぜ人々を混同するか。 Wellâの€¦ Iの容疑者それはall the不明瞭のためにそうなったものであり、誤解する、または明らかに不正確なKBの記事、ニュースはドキュメンテーションの投稿、かインターネットで浮かぶ他の形態を分ける。 Orâの€¦それは実際のdoesnâの™tの使用€単純名がâのœsomeAccountâのを好むので€ある€かもしれない。
わかりました、従ってletâの€™sはより現実的な名前の使用によってこのより複雑作る。 維持して私が簡単これらの概念がいかにあるか見なすことの上でちょうど説明したものの私は信頼をほしいことしかし間、私がする。 再生タイヤ。 SPNはServiceTypeのフォーマットにかホスト名および時折ServiceTypeまたはホスト名ある: PortNumber。 そして記述がそのサービスのための証明を扱っているそれは置かれる。 また管理者のdonâの™tが€港を使用するかどうか選ぶことを得ると同時に。 クライアントアプリケーションはこと造られる決定持っている。 Let’s say you’re connecting to an IIS server with a machine name of “iis-prod-01”. And let’s say the active directory domain name is “company.com.” In Internet Explorer you use an address of http://someInventedName. The “application pool” (i.e. the w3wp.exe process) is running under the account of “COMPANY\myserviceAccount”. With the knowledge that the web service’s Kerberos “service type” is “HTTP” (don’t confuse this with the browser’s protocol type) you’re probably thinking we can set an SPN of “HTTP/someInventedName” on “COMPANY\myserviceAccount”. Doh!! Sorry no. Almost, but Kerberos would probably not work with that. The problem with that idea is that you have to know how name resolution is working also. If you open a CMD prompt and ping someInventedName, it will most likely resolve to someInventedName.company.com. Therefore the SPN that “IE” will request is “HTTP/someInventedName.company.com”. IE was not programmed to request an SPN using the port so that part of the SPN is not needed nor can it ever be used. What if the ping did show the name as just “someInventedName”? Then IE would in-fact use Kerberos with an SPN of “HTTP/someInventedName” But because name resolution can be affected by many things, the key is to make sure an SPN of both “HTTP/someInventedName” and “HTTP/someInventedName.company.com” are set on the “COMPANY\myserviceAccount” account. Or the way I prefer to say that is you need to create an SPN that represents both the NetBIOS name and the Fully Qualified name. I can hear what many of you are thinking. “But I thought that KB article said to set the SPN on the computer account”. Well, yes, that would be accurate *IF* the process handling authentication was running as “SYSTEM”. If the process for that service is not running as SYSTEM then you can’t set the SPN on the computer account (well you can but Kerberos isn’t going to work).
Recap 2: An SPN should actually be in the format of ServiceType/NetBIOSName *and* ServiceType/FQDN. And we *always* set that on whatever account is running the process that is handling the authentication. Read the above paragraphs a couple times and just maintain faith that it is really that simple. Don’t complicate it with questions!!
Incidentally, I wrote an ASP.NET application that looks at all the relevant settings needed for Kerberos and Delegation to work. Currently, however, I don’t have a good public way of distributing it. If you want to quickly get your server in shape for Kerberos and Delegation, you can open a support incident with Microsoft and you can get ahold of the tool I wrote.

Written by Teus. Read more great feeds at is source WEBSITE
no comments.
Read more articles on software.

• [+] Digg: Feature this article
• [+] Del.icio.us: Bookmark this article
• [+] Furl: Bookmark this article

Related articles

• Exclusive for Windows Vista (February 18th, 2008)
• Top 10 Ubuntu-based Distributions (February 10th, 2008)
• Lock Out The Keyloggers (January 20th, 2008)
• 2008 Gaming = Vista SP1 and DirectX 10.1 (January 8th, 2008)
• Free Windows Vista Tweaks Tool (January 4th, 2008)