SPN
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>委任]]
* 目次 [#f905bd02]
#contents
*概要 [#r79374c4]
[[委任]]で必要になるのではなく、[[ケルベロス認証]]自体で...
**SPNとは [#i7884411]
クライアントがサービスのインスタンスを一意に識別するため...
-サービス プリンシパル名
-SPN : Service Principal Name
-以下の3つのマッピング情報がSPNとして[[Active Directory]]...
--サービスの名前 (ポート番号)
--サービスを実行するコンピューター
--サービスを実行するアカウント (サービス・アカウント)
**効用 [#e5229170]
これにより、サービスを乗っ取って不正に~
サービスを利用しようとする攻撃を防ぐことができる。
**用途 [#ce60a62e]
-サーバファームの相互認証 (ケルベロスなど)のサポート。
>→ [[gMSA]]などを使用して簡易にサポート可能になった。
-[[ケルベロスの制約付き委任>委任]]
>→ ケルベロス認証されたアカウントを~
一方のサーバーから他方のサーバーに引き渡すことができる。
*設定 [#vc275e8b]
**方法 [#ce500351]
-設定するには、ドメイン管理者である必要がある。
-Setspn.exe コマンド ライン ユーティリティを使用し、~
[[Active Directory]] プロパティの SPN を編集する。
**例 [#a3fb2580]
***Dynamics CRMでNLBを構成する際 [#udb6b968]
-[[ドメイン アカウント]](例:CRMAppPoolService)を作成す...
-ADSI editスナップインで [[SPN]] を構成する。
--作成した[[ドメイン アカウント]]のプロパティを開く
--属性ボックスでservicePrincipalNameの編集をクリック
--追加する値:HTTP/CRMNLBName.FQDN(CRMNLBCluster.contoso...
--追加する値:HTTP/CRMNLBName(CRMNLBCluster)→追加をクリ...
#CRMNLBName は [[NLB]] クラスター名。
***・・・ [#pf0778be]
*参考 [#w7be05ab]
-サービス プリンシパル名の登録~
Japan Dynamics CRM Team Blog - Site Home - MSDN Blogs~
http://blogs.msdn.com/b/crmjapan/archive/2010/01/28/99513...
-Service Principal Name (SPN) について Always on the clo...
http://sophiakunii.wordpress.com/2011/07/15/service-princ...
**[[ベース クライアント セキュリティ モデル]] [#tb181700]
***[[ケルベロスの制約付き委任>委任]] [#h2a73ac9]
***[[ケルベロス認証]] [#jc588cad]
***[[ドメイン アカウント]] [#te8b67b4]
----
Tags: [[:セキュリティ]], [[:アカウント]], [[:Windows]], [...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>委任]]
* 目次 [#f905bd02]
#contents
*概要 [#r79374c4]
[[委任]]で必要になるのではなく、[[ケルベロス認証]]自体で...
**SPNとは [#i7884411]
クライアントがサービスのインスタンスを一意に識別するため...
-サービス プリンシパル名
-SPN : Service Principal Name
-以下の3つのマッピング情報がSPNとして[[Active Directory]]...
--サービスの名前 (ポート番号)
--サービスを実行するコンピューター
--サービスを実行するアカウント (サービス・アカウント)
**効用 [#e5229170]
これにより、サービスを乗っ取って不正に~
サービスを利用しようとする攻撃を防ぐことができる。
**用途 [#ce60a62e]
-サーバファームの相互認証 (ケルベロスなど)のサポート。
>→ [[gMSA]]などを使用して簡易にサポート可能になった。
-[[ケルベロスの制約付き委任>委任]]
>→ ケルベロス認証されたアカウントを~
一方のサーバーから他方のサーバーに引き渡すことができる。
*設定 [#vc275e8b]
**方法 [#ce500351]
-設定するには、ドメイン管理者である必要がある。
-Setspn.exe コマンド ライン ユーティリティを使用し、~
[[Active Directory]] プロパティの SPN を編集する。
**例 [#a3fb2580]
***Dynamics CRMでNLBを構成する際 [#udb6b968]
-[[ドメイン アカウント]](例:CRMAppPoolService)を作成す...
-ADSI editスナップインで [[SPN]] を構成する。
--作成した[[ドメイン アカウント]]のプロパティを開く
--属性ボックスでservicePrincipalNameの編集をクリック
--追加する値:HTTP/CRMNLBName.FQDN(CRMNLBCluster.contoso...
--追加する値:HTTP/CRMNLBName(CRMNLBCluster)→追加をクリ...
#CRMNLBName は [[NLB]] クラスター名。
***・・・ [#pf0778be]
*参考 [#w7be05ab]
-サービス プリンシパル名の登録~
Japan Dynamics CRM Team Blog - Site Home - MSDN Blogs~
http://blogs.msdn.com/b/crmjapan/archive/2010/01/28/99513...
-Service Principal Name (SPN) について Always on the clo...
http://sophiakunii.wordpress.com/2011/07/15/service-princ...
**[[ベース クライアント セキュリティ モデル]] [#tb181700]
***[[ケルベロスの制約付き委任>委任]] [#h2a73ac9]
***[[ケルベロス認証]] [#jc588cad]
***[[ドメイン アカウント]] [#te8b67b4]
----
Tags: [[:セキュリティ]], [[:アカウント]], [[:Windows]], [...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
