Open棟梁Project - マイクロソフト系技術情報 Wiki
目次 †
概要 †
SPNとは †
クライアントがサービスのインスタンスを一意に識別するための名前。
- サービス プリンシパル名
- SPN:Service Principal Name
- 以下の3つのマッピング情報がSPNとしてActive Directoryに登録される。
- サービスの名前 (ポート番号)
- サービスを実行するコンピューター
- サービスを実行するアカウント (サービスアカウント)
効用 †
- これにより、サービスを乗っ取って不正にサービスを利用しようとする攻撃を防ぐことができる。
用途 †
- サーバファームの相互認証 (Kerberosなど)のサポート。
→ gMSAなどを使用して簡易にサポート可能になった。
- Kerberos 認証されたアカウントを一方のサーバーから他方のサーバーに引き渡すことができる。
→ これが、 Kerberos 認証の委任。
設定方法 †
- 設定するには、ドメイン管理者である必要がある。
- Setspn.exe コマンド ライン ユーティリティを使用し、
Active Directory プロパティの SPN を編集する。
設定例 †
Dynamics CRMでNLBを構成する際 †
- ADSI editスナップインで SPN を構成する。
- 作成したドメイン アカウントのプロパティを開く
- 属性ボックスでservicePrincipalName?の編集をクリック
- 追加する値:HTTP/CRMNLBName.FQDN(CRMNLBCluster.contoso.com)→追加をクリック
- 追加する値:HTTP/CRMNLBName(CRMNLBCluster)→追加をクリック
#CRMNLBName は NLB クラスター名。
参考 †