![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>委任]] * 目次 [#f905bd02] #contents *概要 [#r79374c4] [[委任]]で必要になるのではなく、[[ケルベロス認証]]自体で必要。 **SPNとは [#i7884411] クライアントがサービスのインスタンスを一意に識別するための名前。 -サービス プリンシパル名 -SPN : Service Principal Name -以下の3つのマッピング情報がSPNとして[[Active Directory]]に登録される。 --サービスの名前 (ポート番号) --サービスを実行するコンピューター --サービスを実行するアカウント (サービスアカウント) --サービスを実行するアカウント (サービス・アカウント) **効用 [#e5229170] これにより、サービスを乗っ取って不正に~ サービスを利用しようとする攻撃を防ぐことができる。 **用途 [#ce60a62e] -サーバファームの相互認証 (ケルベロスなど)のサポート。 >→ [[gMSA]]などを使用して簡易にサポート可能になった。 -[[ケルベロスの制約付き委任>委任]] >→ ケルベロス認証されたアカウントを~ 一方のサーバーから他方のサーバーに引き渡すことができる。 *設定 [#vc275e8b] **方法 [#ce500351] -設定するには、ドメイン管理者である必要がある。 -Setspn.exe コマンド ライン ユーティリティを使用し、~ [[Active Directory]] プロパティの SPN を編集する。 **例 [#a3fb2580] ***Dynamics CRMでNLBを構成する際 [#udb6b968] -[[ドメイン アカウント]](例:CRMAppPoolService)を作成する。 -ADSI editスナップインで [[SPN]] を構成する。 --作成した[[ドメイン アカウント]]のプロパティを開く --属性ボックスでservicePrincipalNameの編集をクリック --追加する値:HTTP/CRMNLBName.FQDN(CRMNLBCluster.contoso.com)→追加をクリック --追加する値:HTTP/CRMNLBName(CRMNLBCluster)→追加をクリック #CRMNLBName は [[NLB]] クラスター名。 ***・・・ [#pf0778be] *参考 [#w7be05ab] -サービス プリンシパル名の登録~ Japan Dynamics CRM Team Blog - Site Home - MSDN Blogs~ http://blogs.msdn.com/b/crmjapan/archive/2010/01/28/9951375.aspx -Service Principal Name (SPN) について Always on the clock~ http://sophiakunii.wordpress.com/2011/07/15/service-principal-name-spn-%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6/ **[[ベース クライアント セキュリティ モデル]] [#tb181700] ***[[ケルベロスの制約付き委任>委任]] [#h2a73ac9] ***[[ケルベロス認証]] [#jc588cad] ***[[ドメイン アカウント]] [#te8b67b4] ---- Tags: [[:セキュリティ]], [[:アカウント]], [[:Windows]], [[:Active Directory]], [[:認証基盤]]
