- 追加された行はこの色です。
- 削除された行はこの色です。
Open棟梁Project - マイクロソフト系技術情報 Wiki
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>委任]]
* 目次 [#f905bd02]
#contents
*概要 [#r79374c4]
[[委任]]で必要になるのではなく、[[ケルベロス認証]]自体で必要。
**SPNとは [#i7884411]
クライアントがサービスのインスタンスを一意に識別するための名前。
-サービス プリンシパル名
-SPN:Service Principal Name
-以下の3つのマッピング情報がSPNとしてActive Directoryに登録される。
-SPN : Service Principal Name
-以下の3つのマッピング情報がSPNとして[[Active Directory]]に登録される。
--サービスの名前 (ポート番号)
--サービスを実行するコンピューター
--サービスを実行するアカウント (サービスアカウント)
--サービスを実行するアカウント (サービス・アカウント)
**効用 [#e5229170]
-これにより、サービスを乗っ取って不正にサービスを利用しようとする攻撃を防ぐことができる。
これにより、サービスを乗っ取って不正に~
サービスを利用しようとする攻撃を防ぐことができる。
**用途 [#ce60a62e]
-サーバファームの相互認証 (Kerberosなど)のサポート。
-サーバファームの相互認証 (ケルベロスなど)のサポート。
>→ [[gMSA]]などを使用して簡易にサポート可能になった。
-[[Kerberos の制約付き委任>委任]]
>→ Kerberos 認証されたアカウントを一方のサーバーから他方のサーバーに引き渡すことができる。
-[[ケルベロスの制約付き委任>委任]]
*設定方法 [#ce500351]
>→ ケルベロス認証されたアカウントを~
一方のサーバーから他方のサーバーに引き渡すことができる。
*設定 [#vc275e8b]
**方法 [#ce500351]
-設定するには、ドメイン管理者である必要がある。
-Setspn.exe コマンド ライン ユーティリティを使用し、~
Active Directory プロパティの SPN を編集する。
[[Active Directory]] プロパティの SPN を編集する。
*設定例 [#a3fb2580]
**サーバファームの相互認証 のサポート [#d7008881]
**例 [#a3fb2580]
***Dynamics CRMでNLBを構成する際 [#udb6b968]
-[[ドメイン アカウント]](例:CRMAppPoolService)を作成する。
-ADSI editスナップインで [[SPN]] を構成する。
--作成した[[ドメイン アカウント]]のプロパティを開く
--属性ボックスでservicePrincipalNameの編集をクリック
--追加する値:HTTP/CRMNLBName.FQDN(CRMNLBCluster.contoso.com)→追加をクリック
--追加する値:HTTP/CRMNLBName(CRMNLBCluster)→追加をクリック
#CRMNLBName は [[NLB]] クラスター名。
**[[Kerberos の制約付き委任>委任]] [#h2a73ac9]
***・・・ [#pf0778be]
*** [#q698681a]
*参考 [#w7be05ab]
-サービス プリンシパル名の登録~
Japan Dynamics CRM Team Blog - Site Home - MSDN Blogs~
http://blogs.msdn.com/b/crmjapan/archive/2010/01/28/9951375.aspx
-IdM実験室: Kerberos 認証の設定を確認する~
http://idmlab.eidentity.jp/2012/11/kerberos.html
-Service Principal Name (SPN) について Always on the clock~
http://sophiakunii.wordpress.com/2011/07/15/service-principal-name-spn-%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/
**[[ベース クライアント セキュリティ モデル]] [#tb181700]
***[[ケルベロスの制約付き委任>委任]] [#h2a73ac9]
***[[ケルベロス認証]] [#jc588cad]
***[[ドメイン アカウント]] [#te8b67b4]
----
Tags: [[:セキュリティ]], [[:アカウント]], [[:Windows]], [[:Active Directory]], [[:認証基盤]]