Compartir a través de


Los clientes de Kerberos permiten nombres de host de direcciones IPv4 e IPv6 en Nombres de entidad de seguridad de servicio (SPN)

A partir de Windows 10 versión 1507 y Windows Server 2016, los clientes de Kerberos se pueden configurar para admitir nombres de host IPv4 e IPv6 en SPN.

De manera predeterminada, Windows no intentará la autenticación de Kerberos para un host si el nombre de host es una dirección IP. Se revertirá a otros protocolos de autenticación habilitados, como NTLM. Sin embargo, las aplicaciones a veces están codificadas de forma rígida para usar direcciones IP, lo que significa que la aplicación revertirá a NTLM y no usará Kerberos. Esto puede provocar problemas de compatibilidad a medida que los entornos se mueven para deshabilitar NTLM.

Para reducir el impacto de deshabilitar NTLM, se introdujo una nueva capacidad que permite a los administradores usar direcciones IP como nombres de host en Nombres de entidad de seguridad de servicio. Esta capacidad está habilitada en el cliente a través de un valor de clave del Registro.

reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters" /v TryIPSPN /t REG_DWORD /d 1 /f

Para configurar la compatibilidad con nombres de host de dirección IP en SPN, cree una entrada TryIPSPN. Esta entrada no existe en el registro de forma predeterminada. Después de haber creado la entrada, cambia el valor de DWORD a 1. Este valor del Registro deberá establecerse en cada equipo cliente que necesite acceder a los recursos protegidos por Kerberos por dirección IP.

Configuración de un nombre de entidad de seguridad de servicio como dirección IP

Un nombre de entidad de seguridad de servicio es un identificador único que se usa durante la autenticación de Kerberos para identificar un servicio en la red. Un SPN se compone de un servicio, un nombre de host y, opcionalmente, un puerto en forma de service/hostname[:port], como host/fs.contoso.com. Windows registrará varios SPN en un objeto de equipo cuando una máquina esté unida a Active Directory.

Las direcciones IP no se usan normalmente para sustituir a nombres de host porque las direcciones IP suelen ser temporales. Esto puede provocar conflictos y errores de autenticación a medida que las concesiones de direcciones expiran y se renuevan. Por lo tanto, registrar un SPN basado en direcciones IP es un proceso manual y solo debe realizarse cuando sea imposible cambiar a un nombre de host basado en DNS.

El enfoque recomendado es usar la herramienta Setspn.exe. Tenga en cuenta que un SPN solo se puede registrar en una sola cuenta de Active Directory a la vez, por lo que se recomienda que las direcciones IP tengan concesiones estáticas si se usa DHCP.

Setspn -s <service>/ip.address> <domain-user-account>

Ejemplo:

Setspn -s host/192.168.1.1 server01