マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

SPNとは

クライアントがサービスのインスタンスを一意に識別するための名前。

  • サービス プリンシパル名
  • SPN:Service Principal Name
  • 以下の3つのマッピング情報がSPNとしてActive Directoryに登録される。
    • サービスの名前 (ポート番号)
    • サービスを実行するコンピューター
    • サービスを実行するアカウント (サービスアカウント)

効用

  • これにより、サービスを乗っ取って不正にサービスを利用しようとする攻撃を防ぐことができる。

用途

  • サーバファームの相互認証 (ケルベロスなど)のサポート。

gMSAなどを使用して簡易にサポート可能になった。

→ ケルベロス認証されたアカウントを一方のサーバーから他方のサーバーに引き渡すことができる。

設定方法

  • 設定するには、ドメイン管理者である必要がある。
  • Setspn.exe コマンド ライン ユーティリティを使用し、
    Active Directory プロパティの SPN を編集する。

設定例

サーバファームの相互認証 のサポート

Dynamics CRMでNLBを構成する際

  • ADSI editスナップインで SPN を構成する。
  • 作成したドメイン アカウントのプロパティを開く
  • 属性ボックスでservicePrincipalName?の編集をクリック
  • 追加する値:HTTP/CRMNLBName.FQDN(CRMNLBCluster.contoso.com)→追加をクリック
  • 追加する値:HTTP/CRMNLBName(CRMNLBCluster)→追加をクリック

#CRMNLBName は NLB クラスター名。

・・・

参考

ベース クライアント セキュリティ モデル

ケルベロスの制約付き委任

ケルベロス認証

ドメイン アカウント


Tags: :セキュリティ, :アカウント, :Windows, Active Directory


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-02-14 (水) 19:54:50 (489d)