क्या कोई व्यक्ति Windows सर्विस प्रिंसिपल नेम्स (SPNs) की देखरेख के बिना समझा सकता है?

मैंने अभी कुछ समय के लिए सेवा सिद्धांत नामों के साथ कुश्ती की है और Microsoft स्पष्टीकरण पर्याप्त नहीं है। मैं हमारे डोमेन पर काम करने के लिए एक IIS एप्लिकेशन को कॉन्फ़िगर कर रहा हूं और ऐसा लग रहा है कि मेरी कुछ समस्याएं विंडोज़ सर्विस अकाउंट पर http विशिष्ट SPNs को कॉन्फ़िगर करने की मेरी आवश्यकता से संबंधित हैं, जो मेरी साइट की मेजबानी करने वाले एप्लिकेशन पूल को चला रहा है।

यह सब मुझे एहसास दिलाता है कि मैं पूरी तरह से सेवा प्रकारों (MSSQL, http, host, termsrv, wsman, आदि), केर्बरोस प्रमाणीकरण, सक्रिय निर्देशिका कंप्यूटर खातों (PCName $), विंडोज़ सेवाओं के खातों, SPKw के बीच संबंध नहीं बनाता हूँ , और उपयोगकर्ता खाता जिसका उपयोग मैं कोशिश कर रहा हूं और एक सेवा का उपयोग करने के लिए कर रहा हूं।

क्या कोई कृपया स्पष्टीकरण की देखरेख के बिना Windows सेवा सिद्धांत नाम (SPN) की व्याख्या कर सकता है?

एक रचनात्मक सादृश्य के लिए बोनस अंक जो मामूली अनुभवी सिस्टम प्रशासक / डेवलपर के साथ प्रतिध्वनित होगा।

एक सेवा प्रधान नाम से एक अवधारणा है Kerberos। यह एक विशेष सेवा के लिए एक पहचानकर्ता है जो एक प्रमाणीकरण डोमेन के भीतर एक विशेष होस्ट द्वारा पेश की जाती है। SPNs के लिए सामान्य रूप service class/ fqdn@ REALM(उदा IMAP/mail.example.com@EXAMPLE.COM) है। उपयोगकर्ता प्रिंसिपल नाम भी हैं , जो user@ REALM(या user1/ user2@ के रूप में उपयोगकर्ताओं की पहचान करते हैं REALM, जो बोलती- पहचानते हैं )। service classशिथिल सेवा के लिए प्रोटोकॉल के बारे में सोचा जा सकता है। Microsoft से इस आलेख में अंतर्निहित Windows के लिए सेवा वर्ग की सूची सूचीबद्ध की गई है ।

प्रत्येक एसपीएन को REALM'एस की डिस्ट्रीब्यूशन सेंटर ' (केडीसी) में पंजीकृत होना चाहिए और एक सेवा कुंजी जारी करनी चाहिए । setspn.exeउपयोगिता जो में उपलब्ध है \Support\ToolsWindows पर मीडिया स्थापित करने या एक संसाधन किट डाउनलोड के रूप में फ़ोल्डर, कंप्यूटर या ईस्वी में अन्य खातों में SPNs की manipulates कार्य।

जब कोई उपयोगकर्ता प्रमाणीकरण के लिए Kerberos (एक "Kerberized" सेवा) का उपयोग करता है, तो वे KDC (एक Windows वातावरण में एक सक्रिय निर्देशिका डोमेन नियंत्रक) से प्राप्त एन्क्रिप्टेड टिकट प्रस्तुत करते हैं। टिकट को सेवा कुंजी के साथ एन्क्रिप्ट किया गया है । टिकट को डिक्रिप्ट करके सेवा यह साबित करती है कि उसके पास दिए गए SPN की कुंजी है। Windows होस्ट पर चलने वाली सेवाएँ AD कंप्यूटर खाते से जुड़ी कुंजी का उपयोग करती हैं, लेकिन कर्बरोस प्रोटोकॉल के अनुपालन के लिए SPN को होस्ट पर चलने वाली प्रत्येक kerberized सेवा के लिए सक्रिय निर्देशिका में जोड़ा जाना चाहिए - ऊपर निर्मित उन SPNs को छोड़कर। सक्रिय निर्देशिका में SPN servicePrincipalNameहोस्ट के कंप्यूटर ऑब्जेक्ट की विशेषता में संग्रहीत होते हैं ।

अधिक जानकारी के लिए, देखें: SPN पर Microsoft TechNet लेख , केन हॉर्नस्टीन के करबरोस FAQ

yarek का उत्तर बहुत अच्छा था, और मैंने इसे उकेरा, लेकिन मैं आपको इस विषय पर थोड़ी और अधिक विंडोज-विशिष्ट जानकारी देना चाहता था, या किसी के दृष्टिकोण से आ रहा था, जो सामान्य रूप से केवल केर्बेरस की तुलना में AD से अधिक परिचित है, बस क्योंकि यह एक ऐसा विषय है जो मुझे बहुत पसंद करता है।

मुझे लगा कि इस लड़के ने इसे समझाने का एक उत्कृष्ट काम किया है, और मैं आपको उसके लेख को पढ़ने की सलाह देता हूं, लेकिन यहां आपके प्रश्न के प्रति विशेष रूप से संक्षिप्त पैराग्राफ है:

"सेवा प्रधान नाम परिभाषित करते हैं कि कौन सी सेवाएँ खातों की सुरक्षा के संदर्भ में चलती हैं। उदाहरण के लिए, कुछ सेवाएँ जो कंप्यूटर में हो सकती हैं, वे फ़ाइल सर्वर / CIFS (सामान्य इंटरनेट फ़ाइल सिस्टम) हैं, यदि यह एक डोमेन नियंत्रक है तो इसमें LDAP होने वाला है। SPN, और सक्रिय निर्देशिका प्रतिकृति SPN, और FRS SPN। सेवा प्रिंसिपल नाम उपयोगकर्ता खातों पर परिभाषित किया जा सकता है जब कोई सेवा या अनुप्रयोग उस उपयोगकर्ता सुरक्षा संदर्भ के तहत चल रहा होता है। आमतौर पर इन प्रकार के उपयोगकर्ता खातों को "सेवा खाते" के रूप में जाना जाता है। बहुत महत्वपूर्ण है कि आप समझते हैं कि सेवा प्रधान नाम आवश्यक रूप से संपूर्ण सक्रिय निर्देशिका फ़ॉरेस्ट में अद्वितीय होना चाहिए। "

पूरा लेख यहाँ है: http://blogs.technet.com/b/askds/archive/2008/03/06/kerberos-for-the-busy-admin.aspx