Estou configurando um processo que criaria automaticamente os SPNs para URLs de serviço recém-expostos. Estou ciente de como criar um SPN com o Windows usando o comando setspn -A com os privilégios certos.
Como o meu servidor de compilação está sendo executado no Linux, eu me pergunto, existe alguma maneira - além de fazer login em um servidor Windows e rodar setspn - para criar o SPN a partir de um servidor Linux?
Quando você usa a ferramenta setspn , tudo o que está fazendo é modificar o servicePrincipalName atributo do computador / usuário especificado no AD.
Para fazer o mesmo em uma máquina Linux, você só precisa usar uma ferramenta LDAP para se conectar a um controlador de domínio e modificar o atributo como faria com qualquer outro. Tenha em mente que é um atributo com vários valores. Portanto, não apague acidentalmente as entradas existentes que possam existir no destino.
A biblioteca Python para o Gerenciamento Remoto do Windows (WinRM) permitirá que você execute o comando remoto em uma máquina Windows a partir de uma máquina Linux
pywinrm is a Python client for Windows Remote Management (WinRM). This allows you to invoke commands on target Windows machines from any machine that can run Python.
Não acho que exista uma ferramenta para o Linux que registre os SPNs no Active Directory. Dependendo do seu aplicativo e de como ele é configurado, você pode delegar à conta de serviço a capacidade de registrar um SPN. / a>
Open Active Directory Users and Computers.
To open Active Directory Users and Computers, click Start, click Run, type dsa.msc, and then press ENTER.
Click View, and verify that the Advanced Features check box is selected.
Click Advanced Features, if it is not selected.
If the domain to which you want to allow a disjoint namespace does not appear in the console, take the following steps:
In the console tree, right-click Active Directory Users and Computers, and then click Connect to Domain.
In the Domain box, type the name of the Active Directory domain to which you want to allow the disjoint namespace, and then click OK.
As an alternative, you can use the Browse button to locate the Active Directory domain.
In the console tree, right-click the node that represents the domain to which you want to allow a disjoint namespace, and then click Properties.
On Security tab, click Advanced.
On the Permissions tab, click Add.
In Enter the object name to select, type the group or user account name to which you want to delegate permission, and then click OK.
Configure the Apply onto box for Computer objects.
At the bottom of the Permissions box, select the Allow check box that corresponds to the Validated write to service principal name permissions, and then click OK on the three open dialog boxes to confirm your changes.
Close Active Directory Users and Computers.
Tags active-directory kerberos spn