SPN のバックアップの現在との差分(No.6)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• SPN へ行く。
  • 1 (2015-08-09 (日) 13:13:18)
  • 2 (2015-08-09 (日) 14:07:01)
  • 3 (2015-08-11 (火) 11:12:11)
  • 4 (2015-08-12 (水) 19:30:38)
  • 5 (2015-08-13 (木) 11:58:41)
  • 6 (2015-08-23 (日) 12:05:36)
  • 7 (2016-01-26 (火) 13:38:13)
  • 8 (2017-01-12 (木) 14:28:26)
  • 9 (2017-03-09 (木) 09:17:39)
  • 10 (2017-03-12 (日) 14:49:10)
  • 11 (2017-03-27 (月) 13:39:22)
  • 12 (2018-02-14 (水) 19:54:50)
  • 13 (2020-05-06 (水) 13:32:58)
  • 14 (2020-05-07 (木) 18:40:08)
  • 15 (2020-05-15 (金) 14:36:58)
  • 16 (2020-07-16 (木) 12:26:26)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

Open棟梁Project - マイクロソフト系技術情報 Wiki
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>委任]]

* 目次 [#f905bd02]
#contents

*概要 [#r79374c4]
[[委任]]で必要になるのではなく、[[ケルベロス認証]]自体で必要。

**SPNとは [#i7884411]
クライアントがサービスのインスタンスを一意に識別するための名前。

-サービス プリンシパル名
-SPN:Service Principal Name

-以下の3つのマッピング情報がSPNとしてActive Directoryに登録される。
-SPN : Service Principal Name

-以下の3つのマッピング情報がSPNとして[[Active Directory]]に登録される。
--サービスの名前 (ポート番号)
--サービスを実行するコンピューター
--サービスを実行するアカウント (サービスアカウント)
--サービスを実行するアカウント (サービス・アカウント)

**効用 [#e5229170]
-これにより、サービスを乗っ取って不正にサービスを利用しようとする攻撃を防ぐことができる。
これにより、サービスを乗っ取って不正に~
サービスを利用しようとする攻撃を防ぐことができる。

**用途 [#ce60a62e]
-サーバファームの相互認証 (Kerberosなど)のサポート。
-サーバファームの相互認証 (ケルベロスなど)のサポート。

>→ [[gMSA]]などを使用して簡易にサポート可能になった。

-[[Kerberos の制約付き委任>委任]]
>→ Kerberos 認証されたアカウントを一方のサーバーから他方のサーバーに引き渡すことができる。
-[[ケルベロスの制約付き委任>委任]]

*設定方法 [#ce500351]
>→ ケルベロス認証されたアカウントを~
　 一方のサーバーから他方のサーバーに引き渡すことができる。

*設定 [#vc275e8b]

**方法 [#ce500351]
-設定するには、ドメイン管理者である必要がある。
-Setspn.exe コマンド ライン ユーティリティを使用し、~
Active Directory プロパティの SPN を編集する。
[[Active Directory]] プロパティの SPN を編集する。

*設定例 [#a3fb2580]
**サーバファームの相互認証 のサポート [#d7008881]
**例 [#a3fb2580]

***Dynamics CRMでNLBを構成する際 [#udb6b968]

-[[ドメイン アカウント]]（例：CRMAppPoolService）を作成する。

-ADSI editスナップインで [[SPN]] を構成する。

--作成した[[ドメイン アカウント]]のプロパティを開く
--属性ボックスでservicePrincipalNameの編集をクリック
--追加する値：HTTP/CRMNLBName.FQDN（CRMNLBCluster.contoso.com）→追加をクリック
--追加する値：HTTP/CRMNLBName（CRMNLBCluster）→追加をクリック

＃CRMNLBName は [[NLB]] クラスター名。

**[[Kerberos の制約付き委任>委任]] [#h2a73ac9]
***・・・ [#pf0778be]

*** [#q698681a]

*参考 [#w7be05ab]

-サービス プリンシパル名の登録~
Japan Dynamics CRM Team Blog - Site Home - MSDN Blogs~
http://blogs.msdn.com/b/crmjapan/archive/2010/01/28/9951375.aspx

-IdM実験室: Kerberos 認証の設定を確認する~
http://idmlab.eidentity.jp/2012/11/kerberos.html

-Service Principal Name (SPN) について  Always on the clock~
http://sophiakunii.wordpress.com/2011/07/15/service-principal-name-spn-%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/

**[[ベース クライアント セキュリティ モデル]] [#tb181700]
***[[ケルベロスの制約付き委任>委任]] [#h2a73ac9]
***[[ケルベロス認証]] [#jc588cad]
***[[ドメイン アカウント]] [#te8b67b4]

----
Tags: [[:セキュリティ]], [[:アカウント]], [[:Windows]], [[:Active Directory]], [[:認証基盤]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.005 sec.