Birisi lütfen Windows Servis Prensip İsimlerini (SPN'ler) fazla basitleştirmeden açıklayabilir mi?

Şimdi birkaç kez hizmet prensibi isimleri ile güreşmiştim ve Microsoft açıklaması yeterli değil. Etki alanımızda çalışacak bir IIS uygulaması yapılandırıyorum ve sorunlarımdan bazıları sitemi barındıran uygulama havuzunu çalıştıran Windows hizmet hesabında http'e özgü SPN'leri yapılandırma ihtiyacımla ilgili gibi görünüyor .

Tüm bunlar, hizmet türleri (MSSQL, http, ana bilgisayar, termsrv, wsman, vb.), Kerberos kimlik doğrulaması, aktif dizin bilgisayar hesapları (PCName $), Windows hizmet hesapları, SPN'ler arasındaki ilişkiyi tam olarak anlamadığımın farkına varmamı sağladı. ve bir servise erişmek ve kullanmak için kullandığım kullanıcı hesabı.

Birisi lütfen açıklamayı fazla basitleştirmeden Windows Servis İlke Adlarını (SPN'ler) açıklayabilir mi?

Orta derecede deneyimli bir sistem yöneticisi / geliştiricisi ile rezonansa girecek yaratıcı bir analoji için bonus puanları.

Bir hizmet asıl adı gelen bir kavramdır Kerberos. Bir kimlik doğrulama alanı içindeki belirli bir ana bilgisayar tarafından sunulan belirli bir hizmet için bir tanımlayıcıdır. SPN'ler için ortak biçim service class/ fqdn@'dir REALM(örn. IMAP/mail.example.com@EXAMPLE.COM). Kullanıcılarıuser @ REALM(ya da user1/ user2@ için bir ilişkiyi REALMtanımlayan ) şeklinde tanımlayan Kullanıcı Asıl İsimleri de vardır . Hizmet için protokol olarak gevşek olarak düşünülebilir. Windows'ta yerleşik olan hizmet sınıfları listesi, bu makalede Microsoft'tan listelenmiştir .service class

Her SPN kayıtlı olmalıdır REALM'ın Anahtar Dağıtım Merkezi (KDC) ve yayınlanan hizmet anahtarı . Windows yükleme medyasındaki klasörde veya bir Kaynak Seti indirilirken bulunan setspn.exeyardımcı program \Support\Tools, SPN'lerin bilgisayara veya AD'deki diğer hesaplara atanmasını düzenler.

Bir kullanıcı kimlik doğrulaması için Kerberos kullanan bir servise eriştiğinde ("Kerberized" hizmeti), KDC'den (Windows ortamında bir Active Directory Etki Alanı Denetleyicisi) elde edilen şifreli bir bilet sunar. Bilet servis tuşuyla şifrelenmiş . Biletin şifresini çözerek hizmet verilen SPN'nin anahtarına sahip olduğunu kanıtlar. Windows ana bilgisayarlarında çalışan hizmetler, AD bilgisayar hesabıyla ilişkilendirilmiş anahtarı kullanır, ancak Kerberos protokolüyle uyumlu olması için, ana bilgisayarda çalışan her kerberize edilmiş hizmet için SPN'ler, yukarıda belirtilen yerleşik SPN'ler dışında, Active Directory'ye eklenmelidir. Active Directory'de SPN'ler servicePrincipalName, ana bilgisayarın bilgisayar nesnesinin özelliğinde saklanır .

Daha fazla bilgi için, bkz . SPN'deki Microsoft TechNet makalesi , Ken Hornstein'ın Kerberos SSS

Yarek'in cevabı harikaydı ve ben bunu kışkırttım, ama aynı zamanda size konuyla ilgili biraz daha Windows'a özel bilgi vermek istedim, ya da genel olarak Kerberos’tan daha genel olarak AD’ye aşina birisinin bakış açısıyla gelmek istedim. çünkü bu beni çok ilgilendiren bir konu.

Bu adam açıklamak için mükemmel bir iş çıkarmış gibi hissettim ve makalesini okumanızı öneriyorum, ancak işte sorunuza dair tam ve öz bir paragraf:

"Hizmet Asıl Adları, hesapların güvenlik bağlamında hangi hizmetlerin çalışacağını tanımlar. Örneğin, bir bilgisayarın sahip olabileceği hizmetlerin bazıları, bir etki alanı denetleyicisi ise, bir LDAP'ye sahip olacak SPN ve Active Directory Çoğaltma SPN ve FRS SPN Hizmet Asıl Adları, bir Hizmet veya uygulama bu kullanıcılar altında çalıştığında kullanıcı hesaplarında tanımlanabilir Güvenlik bağlamı.Genel olarak bu kullanıcı hesabı türleri “Hizmet Hesapları” olarak bilinir. Hizmet Asıl Adlarının tüm Active Directory ormanı boyunca benzersiz olması gerektiğini anladığınızı unutmayın. "

Tüm makale burada: http://blogs.technet.com/b/askds/archive/2008/03/06/kerberos-for-the-busy-admin.aspx