Partager via

Kerberos avec un nom principal de service (SPN)

  • Article

S’applique à : Azure Local 2311.2 et versions ultérieures ; Windows Server 2022, Windows Server 2019

Cet article explique comment utiliser l’authentification Kerberos avec le nom du principal de service (SPN).

Le contrôleur de réseau prend en charge plusieurs méthodes d’authentification pour la communication avec les clients de gestion. Vous pouvez utiliser l’authentification Kerberos, l’authentification basée sur les certificats X509. Vous avez également la possibilité d’utiliser aucune authentification pour les déploiements de test.

System Center Virtual Machine Manager utilise l’authentification Kerberos. Si vous utilisez l’authentification Kerberos, vous devez configurer un SPN pour le contrôleur de réseau dans Active Directory. Le SPN est un identificateur unique pour l’instance de service du contrôleur de réseau, qui est utilisé par l’authentification Kerberos pour associer une instance de service à un compte de connexion de service. Pour plus d'informations, consultez la page Noms de principal de service.

Configurer des noms de principal du service (SPN)

Le contrôleur de réseau configure automatiquement le SPN. Il vous suffit de fournir des autorisations pour que les machines du contrôleur de réseau inscrivent et modifient le SPN.

  1. Sur la machine du contrôleur de domaine, démarrez Utilisateurs et ordinateurs Active Directory.

  2. Sélectionnez Affichage > Avancé.

  3. Sous Ordinateurs, recherchez l’un des comptes d’ordinateur du contrôleur de réseau, puis faites un clic droit et sélectionnez Propriétés.

  4. Sélectionnez l'onglet Sécurité et cliquez sur Avancé.

  5. Dans la liste, si tous les comptes d’ordinateur de contrôleur de réseau ou un groupe de sécurité ayant tous les comptes d’ordinateur du contrôleur de réseau ne sont pas répertoriés, cliquez sur Ajouter pour l’ajouter.

  6. Pour chaque compte d’ordinateur du contrôleur de réseau ou un seul groupe de sécurité contenant les comptes d’ordinateur du contrôleur de réseau :

    1. Sélectionnez le compte ou le groupe et cliquez sur Modifier.

    2. Sous Autorisations, sélectionnez Valider Write servicePrincipalName.

    3. Faites défiler vers le bas et sous Propriétés, sélectionnez :

      • Read servicePrincipalName

      • Write servicePrincipalName

    4. Cliquez deux fois sur OK .

  7. Répétez les étapes 3 à 6 pour chaque contrôleur de réseau.

  8. Fermez Utilisateurs et ordinateurs Active Directory.

Échec de fournir des autorisations pour l’inscription ou la modification spN

Sur un nouveau déploiement de Windows Server 2019, si vous avez choisi Kerberos pour l’authentification du client REST et que vous n’autorisez pas les nœuds du contrôleur de réseau à inscrire ou modifier le SPN, les opérations REST sur le contrôleur de réseau échouent. Cela vous empêche de gérer efficacement votre infrastructure SDN.

Pour une mise à niveau de Windows Server 2016 vers Windows Server 2019 et que vous avez choisi Kerberos pour l’authentification du client REST, les opérations REST ne sont pas bloquées, ce qui garantit la transparence des déploiements de production existants.

Si spN n’est pas inscrit, l’authentification du client REST utilise NTLM, ce qui est moins sécurisé. Vous obtenez également un événement critique dans le canal Administration du canal d’événements NetworkController-Framework vous demandant de fournir des autorisations aux nœuds du contrôleur de réseau pour inscrire le SPN. Une fois que vous avez fourni l’autorisation, le contrôleur de réseau inscrit automatiquement le SPN et toutes les opérations clientes utilisent Kerberos.

Conseil

En règle générale, vous pouvez configurer le contrôleur de réseau pour qu’il utilise une adresse IP ou un nom DNS pour les opérations basées sur REST. Toutefois, lorsque vous configurez Kerberos, vous ne pouvez pas utiliser d’adresse IP pour les requêtes REST sur le contrôleur de réseau. Par exemple, vous pouvez utiliser <https://networkcontroller.consotso.com>, mais pas <https://192.34.21.3>. Les noms de principal de service ne peuvent pas fonctionner si les adresses IP sont utilisées.

Si vous utilisiez l’adresse IP pour les opérations REST avec l’authentification Kerberos dans Windows Server 2016, la communication réelle aurait été effectuée sur l’authentification NTLM. Dans ce déploiement, une fois que vous effectuez une mise à niveau vers Windows Server 2019, vous continuez à utiliser l’authentification basée sur NTLM. Pour passer à l’authentification Kerberos, vous devez utiliser le nom DNS du contrôleur de réseau pour les opérations REST et fournir l’autorisation aux nœuds du contrôleur de réseau d’inscrire le SPN.

Étapes suivantes