問題タブ [spn]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kerberos - Kerberos と複数の SPN
1 台のサーバーに Kerberos 認証をセットアップすることができ、問題なく稼働しています。次のように、別のサーバーを Kerberos 構成に追加する必要があるプロジェクトがあります。
1) 広告サーバー
2) サービスが実行されている server1
3) 同じサービスが実行される server2
したがって、setspn コマンドを実行して、両方を単一の「spn」ユーザーに割り当てました。
setspn -s serviceX/server1.domain.com@DOMAIN.COM spn
setspn -s serviceX/server2.domain.com@DOMAIN.COM spn
次に、コマンド ktpass を実行しました。
ktpass -princ serviceX/server1.domain.com@DOMAIN.COM -ptype KRB5_NT_PRINCIPAL -crypto AES256-SHA1 -mapuser serviceX\spn -out C:\keytab +rndPass
それを機能させるには、次に何をすべきですか?server2 に対して ktpass を実行するには? server2 に対して同じコマンドを実行すると、警告が表示されます:
警告: UPN serviceX/server2.domain.com ptype 1 vno 10 etype 0x12 kinits を "serviceX/server2.domain.com" に設定できませんでした。失敗します。
同じサービスの kerberos 認証を別のサーバーでどのようにセットアップしますか? 2 つの spn ユーザーと 2 つのキータブを作成しますか? サービスで必要なため、すべてを 1 つのキータブに含める必要があると思います。何か助けはありますか?
authentication - Kerberos と DNS の関係
通常、Kerberos プリンシパルは として定義されrole/host@REALMます。ここでホスト フィールドはどのように使用されますか?
が実行されるたびに、その特定のホストだけが Kerberos チケットを取得できるように強制しkinitますか?
- はいの場合は、適切な DNS をセットアップするのが理にかなっています。
- いいえの場合、ホスト名はどのように役立ちますか?
xyz/garbage@REALMパネルに名前を付けてプリンシパルを作成しkadmin.local、キータブをダウンロードして別のホスト マシンに配布しました。kinitこのキータブを使用してやろうとしましたが、うまくいきました。
それは正しい振る舞いですか?Kerberos が DNS を使用しているかどうかを確認するにはどうすればよいですか?