7

現在、GSSAPI を使用してクロスプラットフォーム アプリケーションを kerberizing しています。UPN と SPN の違いについては明確ではありませんが。

開発環境は、CentOS 6.4 上の Samba4 AD DC サーバーであり、Windows サーバー 2008 R2 がドメイン内のメンバー ボックスであり、たとえば、EXAMPLE.COM です (Win2008 を DC として直接使用しない理由に興味があるかもしれません。前述のように、アプリケーションははクロスプラットフォームなので、現在この設定でテストしています. 通常の Win DC-Linux MEM 設定は問題なく動作します.) アプリケーションを実行する新しいユーザーを作成しfoobar:usersます。UPN などを使用foobar@EXAMPLE.COMして Kerberos に対してアプリケーションを認証すると、受信し続けます。

Kerberos: プリンシパルがサーバー エラーとして機能しない可能性があります

Samba メールリストのスレッドに従ってapp/dc.example.com、UPN のようなサービス プリンシパル名を作成する必要があると思います。samba-tool

samba-tool spn add app/dc.example.com foobar

今回は別のエラーが表示されます

Samba4 KDC - hdb にそのようなエントリが見つかりません

私の質問は、UPN と SPN の違いは何ですか? によってsamba-tool spn list foobar、それはservicePrincipalNamefoobar を持ってapp/dc.example.comいると言います。UPN を SPN に関連付けるにはどうすればよいですか?

どうもありがとうございました。

4

1 に答える 1

12

簡単に言えば、

  • UPN:何らかのサービスに対してクライアント リクエストを実行するエンティティ。エンティティは人間または機械です。ここを参照してください。
  • SPN:特定のサービス (HTTP、LDAP、SSH など) の要求を処理するエンティティ。マシンのみ。ここを参照してください。

UPNは、SPN がその実際のサービスを使用するためのサービス チケットを取得します。

samba-toolsamba を呼び出して SPNapp/dc.example.comを UPNに登録する場合foobar。SPN と UPN のレルムを提供していないため、Samba は、この呼び出しが実行されるマシンのデフォルトのレルムを想定します。Windows の用語では、ほとんどの場合、SPN をコンピューターの UPN にバインドします。これは常に次のとおり<name>$@<REALM>です。ドル記号に注意してください。

于 2013-08-14T22:04:48.757 に答える