Kerberos с именем субъекта-службы (SPN)

Применимо к: Azure Local 2311.2 и более поздних версий; Windows Server 2022, Windows Server 2019

В этой статье описывается, как использовать проверку подлинности Kerberos с именем субъекта-службы (SPN).

Сетевой контроллер поддерживает несколько методов проверки подлинности для взаимодействия с клиентами управления. Вы можете использовать проверку подлинности на основе Kerberos, проверку подлинности на основе сертификата X509. У вас также есть возможность использовать проверку подлинности для тестовых развертываний.

System Center диспетчер виртуальных машин использует проверку подлинности на основе Kerberos. Если вы используете проверку подлинности на основе Kerberos, необходимо настроить имя субъекта-службы для сетевого контроллера в Active Directory. Имя субъекта-службы — это уникальный идентификатор экземпляра службы сетевого контроллера, который используется проверкой подлинности Kerberos для связывания экземпляра службы с учетной записью входа службы. Дополнительные сведения см. в разделе "Имена субъектов-служб".

Настройка имен субъектов-служб (SPN)

Сетевой контроллер автоматически настраивает имя субъекта-службы. Все, что необходимо сделать, — предоставить разрешения компьютерам сетевого контроллера для регистрации и изменения имени субъекта-службы.

1. На контроллере домена запустите Пользователи и компьютеры Active Directory.

2. ВыберитеВид > Дополнительно.

3. В разделе "Компьютеры" найдите одну из учетных записей компьютера сетевого контроллера, а затем щелкните правой кнопкой мыши и выберите пункт "Свойства".

4. Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно.

5. В списке, если все учетные записи компьютера сетевого контроллера или группа безопасности, имеющие все учетные записи компьютера сетевого контроллера, не указаны, нажмите кнопку "Добавить ", чтобы добавить ее.

6. Для каждой учетной записи компьютера сетевого контроллера или одной группы безопасности, содержащей учетные записи компьютера сетевого контроллера:

   1. Выберите учетную запись или группу и нажмите кнопку "Изменить".

   2. В разделе "Разрешения" выберите Проверить запись servicePrincipalName.

   3. Выполните прокрутку вниз и в разделе Свойства выберите:

      • Чтение servicePrincipalName

      • Запись servicePrincipalName

   4. Дважды нажмите кнопку ОК .

7. Повторите шаги 3 – 6 для каждого компьютера сетевого контроллера.

8. Закройте окно Пользователи и компьютеры Active Directory.

Сбой предоставления разрешений для регистрации или изменения имени субъекта-службы

В новом развертывании Windows Server 2019, если вы выбрали Kerberos для проверки подлинности клиента REST и не авторизуйте узлы сетевого контроллера для регистрации или изменения имени субъекта-службы, операции REST на сетевом контроллере завершаются ошибкой. Это позволяет эффективно управлять инфраструктурой SDN.

Для обновления с Windows Server 2016 до Windows Server 2019, и вы выбрали Kerberos для проверки подлинности клиента REST, операции REST не блокируются, обеспечивая прозрачность существующих рабочих развертываний.

Если имя субъекта-службы не зарегистрировано, проверка подлинности клиента REST использует NTLM, что менее безопасно. Вы также получаете критическое событие в канале событий NetworkController-Framework с просьбой предоставить разрешения узлам сетевого контроллера для регистрации имени участника-службы. После предоставления разрешения сетевой контроллер автоматически регистрирует имя субъекта-службы, а все клиентские операции используют Kerberos.

Совет

Как правило, можно настроить сетевой контроллер для использования IP-адреса или DNS-имени для операций на основе REST. Однако при настройке Kerberos не удается использовать IP-адрес для запросов REST к сетевому контроллеру. Например, можно использовать <https://networkcontroller.consotso.com>, но нельзя использовать <https://192.34.21.3>. Имена субъектов-служб не могут функционировать, если используются IP-адреса.

Если вы использовали IP-адрес для операций REST вместе с проверкой подлинности Kerberos в Windows Server 2016, фактическое взаимодействие было бы поверх проверки подлинности NTLM. В таком развертывании после обновления до Windows Server 2019 вы продолжите использовать проверку подлинности на основе NTLM. Чтобы перейти к проверке подлинности на основе Kerberos, необходимо использовать DNS-имя сетевого контроллера для операций REST и предоставить разрешение узлам сетевого контроллера для регистрации имени участника-службы.

Следующие шаги

• Защита сетевого контроллера.