Posso compartilhar um SPN entre duas contas de serviço?

Navegue suas respostas
3

Estou executando o IIS e o SQL Reporting Server no mesmo servidor. O IIS é executado como d\acct1 e o SSRS está sendo executado como d\acct2 .

Inicialmente, registrei um SPN HTTP/server.d.com para d\acct1 e d\acct2 e configurei ambos para delegação de kerberos irrestrita no Active Directory.

Esta configuração quebrou o kerberos porque havia SPNs duplicados para HTTP/server.d.com .

Se eu excluir o SPN do SSRS, o IIS funcionará. Se eu excluir o SPN do IIS, o SSRS funcionará.

Existe uma maneira de compartilhar um SPN entre duas contas de serviço diferentes executadas no mesmo servidor, de forma que elas não criem um SPN duplicado?

Ou, devo criar dois registros A no diretório ativo para iis.server.d.com e reports.server.d.com e usar cabeçalhos de host para manter os dois aliases diretos dentro de cada serviço respectivo?

    
por Ryan Michela 18.11.2009 / 18:37

1 resposta

3

Pesquise como a delegação Kerberos funciona mostra que não, você não pode compartilhar SPNs entre contas de serviço na mesma caixa.

Eu resolvi o problema provisionando um segundo endereço IP para o meu servidor e mapeando o IIS para um endereço IP e o SSRS para o outro.

Em seguida, criei dois novos registros A no DNS (não use registros C, eles não são confiáveis com a delegação Kerberos) para apontar para os serviços. iis.server.d.com aponta para o endereço IP do IIS e ssrs.server.d.com aponta para o IP do SSRS.

Por fim, excluí todos os SPNs para d\acct1 e d\acct2 e reatribui os SPNs como HTTP/iis.server.d.com e HTTP/ssrs.server.d.com , respectivamente.

Além disso, acho que a edição de SPNs usando ADSIEdit agora mais fácil do que usar a linha de comando setspn .

    
por 19.11.2009 / 04:26

Tags

Expiração de Senha do OpenLDAP com pwdReset = TRUE? IP Forwarding e modelagem de tráfego