Partilhar via

Kerberos com SPN (Nome da Entidade de Serviço)

  • Artigo

Aplica-se a: Azure Local, versões 23H2 e 22H2; Windows Server 2022, Windows Server 2019

Este artigo descreve como usar a autenticação Kerberos com o SPN (Nome da Entidade de Serviço).

O controlador de rede suporta vários métodos de autenticação para comunicação com clientes de gerenciamento. Você pode usar a autenticação baseada em Kerberos, a autenticação baseada em certificado X509. Você também tem a opção de não usar nenhuma autenticação para implantações de teste.

O System Center Virtual Machine Manager usa autenticação baseada em Kerberos. Se você estiver usando a autenticação baseada em Kerberos, deverá configurar um SPN para o Controlador de Rede no Ative Directory. O SPN é um identificador exclusivo para a instância de serviço do Controlador de Rede, que é usado pela autenticação Kerberos para associar uma instância de serviço a uma conta de logon de serviço. Para obter mais detalhes, consulte Nomes da entidade de serviço.

Configurar nomes de entidade de serviço (SPN)

O controlador de rede configura automaticamente o SPN. Tudo o que você precisa fazer é fornecer permissões para que as máquinas do controlador de rede registrem e modifiquem o SPN.

  1. Na máquina do Controlador de Domínio, inicie Usuários e Computadores do Ative Directory.

  2. Selecione Exibir > avançado.

  3. Em Computadores, localize uma das contas de máquina do Controlador de Rede e, em seguida, clique com o botão direito do rato e selecione Propriedades.

  4. Selecione a guia Segurança e clique em Avançado.

  5. Na lista, se todas as contas de máquina do Controlador de Rede ou um grupo de segurança com todas as contas de máquina do Controlador de Rede não estiver listado, clique em Adicionar para adicioná-lo.

  6. Para cada conta de máquina do Controlador de Rede ou um único grupo de segurança que contenha as contas da máquina do Controlador de Rede:

    1. Selecione a conta ou grupo e clique em Editar.

    2. Em Permissões, selecione Validar escritura servicePrincipalName.

    3. Role para baixo e, em Propriedades , selecione:

      • Ler servicePrincipalName

      • Escrever servicePrincipalName

    4. Clique em OK duas vezes.

  7. Repita as etapas 3 a 6 para cada máquina do controlador de rede.

  8. Feche Usuários e Computadores do Ative Directory.

Falha ao fornecer permissões para registro ou modificação do SPN

Em uma nova implantação do Windows Server 2019, se você escolher Kerberos para autenticação de cliente REST e não autorizar os nós do Controlador de Rede a registrar ou modificar o SPN, as operações REST no Controlador de Rede falharão. Isso impede que você gerencie efetivamente sua infraestrutura SDN.

Para uma atualização do Windows Server 2016 para o Windows Server 2019, e você escolheu Kerberos para autenticação de cliente REST, as operações REST não são bloqueadas, garantindo transparência para implantações de produção existentes.

Se o SPN não estiver registrado, a autenticação do cliente REST usará NTLM, que é menos seguro. Você também recebe um evento crítico no canal Admin do canal de eventos NetworkController-Framework solicitando que você forneça permissões aos nós do Controlador de Rede para registrar o SPN. Depois de fornecer permissão, o controlador de rede registra o SPN automaticamente e todas as operações do cliente usam Kerberos.

Gorjeta

Normalmente, você pode configurar o controlador de rede para usar um endereço IP ou nome DNS para operações baseadas em REST. No entanto, quando você configura Kerberos, você não pode usar um endereço IP para consultas REST para controlador de rede. Por exemplo, você pode usar <https://networkcontroller.consotso.com>, mas não pode usar <https://192.34.21.3>. Os Nomes da Entidade de Serviço não podem funcionar se forem utilizados endereços IP.

Se você estivesse usando o endereço IP para operações REST junto com a autenticação Kerberos no Windows Server 2016, a comunicação real teria sido por meio da autenticação NTLM. Nessa implantação, depois de atualizar para o Windows Server 2019, você continuará a usar a autenticação baseada em NTLM. Para mover para a autenticação baseada em Kerberos, você deve usar o nome DNS do Controlador de Rede para operações REST e fornecer permissão para que os nós do Controlador de Rede registrem o SPN.

Próximos passos