ユーザーがSASLおよびGSSAPIを介してActive Directoryに対して認証するSVNSERVEを介して、WindowsベースのSubversionセットアップをセットアップしています。一部のプロバイダーは、すぐに使用できる統合 AD サポートを備えた Subversion のパッケージ済みインストールを提供していることを知っていますが、私の状況ではそれらはオプションではありません。
Windows では Subversion 1.7.4、Windows では MIT Kerberos V5 (3.2.2) を使用しており、Win64 ボックスの Tortoise SVN クライアントからリポジトリにアクセスします。SVNSERVE は、ドメイン アカウントでシステム サービスとして実行されています。
私のリポジトリサーバーには、すべての基本的な部分が整っていると思います(svn、Kerberos、SVNSERVEがSASL認証を延期し、メカニズムにGSSAPIを使用するように構成されています)。リポジトリにクエリを実行しようとすると、「認証メカニズムをネゴシエートできませんでした」という結果になるところまで来ました。これは、リポジトリ ホストが Kerberos にクエリを実行するための SPN を定義していないため、この時点で予想されることです。Network Capture は、spn「svn/*FQDN_of_host_omited* は認識された SPN ではありません。これは、まさにこの時点で私が期待していることです...
したがって、SPN が必要であることはわかっていますが、適切なSPN セットを取得するには、このテスト環境で自分で行うことができないため、少しガイダンスが必要です (要求する必要があるため、適切な組み合わせを要求する必要があります)。以下にリストされている SPN が必要であると私は信じていますが、誰かが私が正しい方向に進んでいることを確認していただければ幸いです。SPN が純粋にホストに対する svn サービスに必要なのか、指定されたアカウントを介したホストに対する svn サービスに必要なのか、あるいはその両方に必要なのかについて混乱しています。
したがって、次のいずれかまたはすべてが必要になると思います。あるとすれば、正しい/間違っているのはどれですか?:
#1 SPN for svn service on non-FQDN of host machine:
setspn -F -A svn/*nonFQDN_of_host* *nonFQDN_of_host*
#2 SPN for svn service on FQDN of host machine:
setspn -F -A svn/*FQDN_of_host* *FQDN_of_host*
#3 SPN for svn service from non-FQDN of host through service account:
setspn -F -A svn/*nonFQDN_of_host* *domain\svnhostaccount*
#4 SPN for svn service from FQDN of host through service account:
setspn -F -A svn/*FQDN_of_host* *domain\svnhostacccount*
助けてくれてありがとう、うまくいけば、質問はあまりにも愚かではありません:)