Open棟梁Project - マイクロソフト系技術情報 Wiki
目次 †
概要 †
SPNとは †
クライアントがサービスのインスタンスを一意に識別するための名前。
- サービス プリンシパル名
- SPN:Service Principal Name
用途 †
サービス乗っ取りの防止 †
- サービスを乗っ取って不正にサービスを利用しようとする攻撃を防ぐことができる。
- 以下の3つの情報がマッピングされた状態で登録され、Kerberosを使ってサービスの認証ができる。
- SPNとして次の情報がActive Directoryに登録される。
- サービスの名前 (ポート番号)
- サービスを実行するコンピューター
- サービスを実行するアカウント (サービスアカウント)
Kerberos 認証の委任 †
SPN を正しく登録することで、Kerberos 認証されたアカウントを
一方のサーバーから他方のサーバーに引き渡すことができる。
→ これが Kerberos 認証の委任
設定方法 †
Dynamics CRMでNLBを構成する際 †
- ADSI editスナップインで SPN を構成する。
- 作成したドメイン アカウントのプロパティを開く
- 属性ボックスでservicePrincipalName?の編集をクリック
- 追加する値:HTTP/CRMNLBName.FQDN(CRMNLBCluster.contoso.com)→追加をクリック
- 追加する値:HTTP/CRMNLBName(CRMNLBCluster)→追加をクリック
#CRMNLBName は NLB クラスター名。
参考 †
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
