Kerberos - Adicionando um SPN a um usuário do domínio

5

Ao adicionar um novo SPN ao domínio Kerberos, você tem a opção de mapear o SPN para um usuário. Em geral, participo do domínio por meio da autenticação integrada do Windows, e isso cria uma nova conta de computador para o serviço, mas agora gostaria de tentar usar o Kerberos sem o IWA.

Acredito que tenha uma compreensão completa de como o Kerberos autentica clientes para um host de computador (bom o suficiente para o que estou tentando fazer) - mas o que exatamente faz o mapeamento de um SPN para um usuário de domínio?

Editar: não estou perguntando sobre como os SPNs funcionam em geral. Estou perguntando especificamente sobre os detalhes do mapeamento de um SPN para um domínio USER.

Resposta:

  1. O Kerberos permitirá que esse usuário específico HOST este serviço - em vez de autenticar com uma conta de host do computador, o servidor será associado ao domínio Kerberos sob esse usuário específico. A autenticação ocorre através deste usuário.

Qualquer informação adicional seria muito apreciada.

    
por lululoo 23.09.2013 / 18:02

3 respostas

6

Uma conta de usuário do AD terá um nome principal do Serviço somente se for usada para executar um serviço . Dessa forma, a maioria das contas de usuários do AD não terá nenhum nome principal de serviço. O exemplo mais comum de vezes em que uma conta de usuário do AD terá SPNs é se essa conta de usuário for usada como uma conta de serviço para executar o MS SQL, IIS etc. Se uma conta de usuário do AD for usada para operar um serviço, nenhum SPN será registrado no AD, esse serviço não pode usar o Kerberos.

Por outro lado, as contas de usuário do AD sempre terão um nome principal Usuário .

Service principal names are associated with the security principal (user or groups) in whose security context the service executes. SPNs are used to support mutual authentication between a client application and a service. An SPN is assembled from information that a client knows about a service. Or, it can obtain information from a trusted third party, such as Active Directory. A service principal name is associated with an account and an account can have many service principal names.

    
por 23.09.2013 / 18:40
2

Você deve ler a documentação da MSDN se você não tiver certeza de quais problemas os SPNs resolvem. É completo e completo.

    
por 23.09.2013 / 18:12
2

Para preencher um pouco as lacunas, se o seu serviço precisar ser executado no contexto de uma conta de usuário.domínio, essa conta de usuário precisará ter o SPN.

Quando isso é comumente encontrado, é com pools de aplicativos do IIS. Se você tiver vários servidores IIS para um aplicativo por trás de um balanceador de carga, talvez o SPN não seja atribuído a um servidor específico, mas a uma conta de usuário de domínio, e os pools de aplicativos IIS sejam executados no contexto dessa conta. Isso seria particularmente verdadeiro se você quiser representar o usuário autenticado com um token de nível de "delegação" e acessar outro serviço em um computador remoto.

Como você adquire o token do usuário autenticado não é necessariamente importante. Pode ser um token de autenticação integrado ou um token que você cria com as credenciais fornecidas pelos usuários, por exemplo, com autenticação de formulários. Se estiver usando delegação restrita, você pode representar o usuário sem um token de autenticação ou senha, tudo o que você precisa é o nome de usuário.

Mas para que isso funcione, um SPN é sempre necessário.

    
por 24.09.2013 / 01:38