「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
SPNとは †
クライアントがサービスのインスタンスを一意に識別するための名前。
- SPN:Service Principal Name
- 以下の3つのマッピング情報がSPNとしてActive Directoryに登録される。
- サービスの名前 (ポート番号)
- サービスを実行するコンピューター
- サービスを実行するアカウント (サービスアカウント)
効用 †
これにより、サービスを乗っ取って不正に
サービスを利用しようとする攻撃を防ぐことができる。
用途 †
- サーバファームの相互認証 (ケルベロスなど)のサポート。
→ gMSAなどを使用して簡易にサポート可能になった。
→ ケルベロス認証されたアカウントを一方のサーバーから他方のサーバーに引き渡すことができる。
設定方法 †
- 設定するには、ドメイン管理者である必要がある。
- Setspn.exe コマンド ライン ユーティリティを使用し、
Active Directory プロパティの SPN を編集する。
設定例 †
サーバファームの相互認証 のサポート †
Dynamics CRMでNLBを構成する際 †
- ADSI editスナップインで SPN を構成する。
- 作成したドメイン アカウントのプロパティを開く
- 属性ボックスでservicePrincipalName?の編集をクリック
- 追加する値:HTTP/CRMNLBName.FQDN(CRMNLBCluster.contoso.com)→追加をクリック
- 追加する値:HTTP/CRMNLBName(CRMNLBCluster)→追加をクリック
#CRMNLBName は NLB クラスター名。
・・・ †
参考 †
Tags: :セキュリティ, :アカウント, :Windows, :Active Directory, :認証基盤
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
