有人可以在不过度简化的情况下解释Windows服务主体名称(SPN)吗?

Modified on: Tue, 16 Jul 2019 12:20:02 +0800

我现在已经和服务原则名称进行了几次搏斗并且微软的解释还不够。我正在配置一个IIS应用程序来处理我们的域,看起来我的一些问题与我需要配置正在运行的Windows服务帐户上的http特定SPN托管我网站的应用程序池。

这一切让我意识到我只是没有完全得到服务类型(MSSQL,http,主机,termsrv,wsman等),Kerberos身份验证,活动目录计算机帐户(PCName $),Windows服务之间的关系帐户,SPN以及我用来尝试访问服务的用户帐户。

有人可以解释Windows服务原则名称(SPN)而不过度简化解释吗?

一个创造性类比的奖励积分,可以与经验丰富的系统管理员/开发人员产生共鸣。

最佳答案

服务主体名称是来自Kerberos的概念。它是身份验证域中特定主机提供的特定服务的标识符。 SPN的常见形式是service class / fqdn @ REALM(例如IMAP/mail.example.com@EXAMPLE.COM

每个SPN必须在REALM密钥分发中心(KDC)中注册,并发布服务密钥setspn.exe实用程序可在Windows安装介质上的\Support\Tools文件夹中找到,或作为资源工具包下载,操作SPN到计算机或其他帐户的分配AD。

当用户访问使用Kerberos进行身份验证的服务(“Kerberized”服务)时,他们会显示从KDC(在Windows环境中为Active Directory域控制器)中获取的加密票证。故障单使用服务密钥加密。通过解密票证,服务证明它拥有给定SPN的密钥。在Windows主机上运行的服务使用与AD计算机帐户关联的密钥,但为了符合Kerberos协议,必须将SPN添加到主机上运行的每个kerberized服务的Active Directory上 - 除了上面提到的那些内置SPN。在Active Directory中,SPN存储在主机计算机对象的servicePrincipalName属性中。

有关详细信息,请参阅:Microsoft TechNet SPN上的文章Ken Hornstein的Kerberos FAQ < / A>

作者:,yarek

相关问答

添加新评论