- 追加された行はこの色です。
- 削除された行はこの色です。
Open棟梁Project - マイクロソフト系技術情報 Wiki
-[[戻る>アカウント]]
-[[戻る>委任]]
* 目次 [#f905bd02]
#contents
*概要 [#r79374c4]
**SPNとは [#i7884411]
クライアントがサービスのインスタンスを一意に識別するための名前。
-サービス プリンシパル名
-SPN:Service Principal Name
**用途 [#ce60a62e]
***サービス乗っ取りの防止 [#ob97e78f]
-サービスを乗っ取って不正にサービスを利用しようとする攻撃を防ぐことができる。
-以下の3つの情報がマッピングされた状態で登録され、Kerberosを使ってサービスの認証ができる。
-ドメインの管理者がSPN を登録したことで、Kerberos 認証されたアカウントを~
一方のサーバーから他方のサーバーに引き渡すことができる。
--SPNとして次の情報がActive Directoryに登録される。
---サービスの名前 (ポート番号)
---サービスを実行するコンピューター
---サービスを実行するアカウント (サービスアカウント)
-これにより、サービスを乗っ取って不正にサービスを利用しようとする攻撃を防ぐことができる。
***Kerberos 認証の委任 [#ee2dda36]
SPN を正しく登録することで、Kerberos 認証されたアカウントを~
一方のサーバーから他方のサーバーに引き渡すことができる。~
→ これが、 [[Kerberos 認証の委任>委任]]。
→ これが [[Kerberos 認証の委任>ベース クライアント セキュリティ モデル]]
-以下の3つのマッピング情報がSPNとしてActive Directoryに登録される。
--サービスの名前 (ポート番号)
--サービスを実行するコンピューター
--サービスを実行するアカウント (サービスアカウント)
*設定方法 [#ce500351]
-設定するには、ドメイン管理者である必要がある。
-Setspn.exe コマンド ライン ユーティリティを使用し、~
Active Directory プロパティの SPN を編集する。
→ 設定手順は「[[Kerberos 認証の委任>委任]]」を参照。
*設定例 [#a3fb2580]
**Dynamics CRMでNLBを構成する際 [#udb6b968]
-[[ドメイン アカウント]](例:CRMAppPoolService)を作成する。
-ADSI editスナップインで [[SPN]] を構成する。
--作成した[[ドメイン アカウント]]のプロパティを開く
--属性ボックスでservicePrincipalNameの編集をクリック
--追加する値:HTTP/CRMNLBName.FQDN(CRMNLBCluster.contoso.com)→追加をクリック
--追加する値:HTTP/CRMNLBName(CRMNLBCluster)→追加をクリック
#CRMNLBName は [[NLB]] クラスター名。
*参考 [#w7be05ab]
-サービス プリンシパル名の登録~
Japan Dynamics CRM Team Blog - Site Home - MSDN Blogs~
http://blogs.msdn.com/b/crmjapan/archive/2010/01/28/9951375.aspx
-Service Principal Name (SPN) について Always on the clock~
http://sophiakunii.wordpress.com/2011/07/15/service-principal-name-spn-%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/