Kerberos: różnica między UPN i SPN

Question

Obecnie korzystam z aplikacji wieloplatformowej z GSSAPI. Podczas gdy nie mam jasności co do różnicy między UPN i SPN.

Środowisko programistyczne to serwer Samba4 AD DC na CentOS 6.4 z serwerem Windows 2008 R2 członkiem pola w domenie, powiedzmy PRZYKŁAD.COM (Możesz być ciekawy dlaczego nie używać Win2008 jako DC bezpośrednio. poprzednio aplikacja była wieloplatformowa, teraz testuję w tym ustawieniu. Normalne ustawienie Win M-DC DC-Linux działa dobrze.). Tworzę nowego użytkownika foobar:users, aby uruchomić aplikację. Gdy używam foobar@EXAMPLE.COM, czyli UPN, aby uwierzytelnić aplikację przed Kerberos, trzymam otrzymaniu

Kerberos: Zamawiający nie może działać jako Błąd serwera

Po thread na Samba Maillist, myślę należy utworzyć głównej nazwy usługi powiedzieć app/dc.example.com dla UPN z samba-tool

samba-tool spn add app/dc.example.com foobar 

tym razem otrzymam inną ERR lub

Samba4 KDC - brak takiego wpisu znaleźć w hdb

Moje pytanie brzmi, jaka jest różnica pomiędzy UPN i SPN? Przez samba-tool spn list foobar, mówi foobarma servicePrincipalName app/dc.example.com. Jak mogę skojarzyć UPN z nazwą SPN?

Dziękuję bardzo.

Answer 1

Mówiąc najprościej,

• UPN: Jednostka wykonywania żądań klientów do niektórych usług. Podmiot może być człowiekiem lub maszyną. Zobacz here.
• SPN: Jednostka przetwarzająca żądania określonej usługi, np. HTTP, LDAP, SSH itp. Tylko maszyna. Zobacz here.

UZN pobiera bilet służbowy dla nazwy SPN w celu korzystania z tej faktycznej usługi.

Jeśli twoja samba-tool zadzwoń do twojego żądania samba, aby zarejestrować SPN app/dc.example.com na UPN foobar. Ponieważ nie dostarczyłeś królestwa SPN i UPN, Samba przyjmie domyślną dziedzinę maszyny, z której wykonywane jest to połączenie. W terminach Windows najczęściej wiążesz SPN z maszyną UPN. Który jest zawsze: <name>$@<REALM>. Zwróć uwagę na znak dolara.