Поделиться через

Kerberos с именем субъекта-службы (SPN)

  • Статья

Применимо к: Azure Local 2311.2 и более поздних версий; Windows Server 2022, Windows Server 2019

В этой статье описывается, как использовать проверку подлинности Kerberos с именем участника службы (SPN).

Сетевой контроллер поддерживает несколько методов проверки подлинности для взаимодействия с клиентами управления. Вы можете использовать проверку подлинности на основе Kerberos, проверку подлинности на основе сертификата X509. У вас также есть возможность не использовать проверку подлинности для тестовых развертываний.

System Center диспетчер виртуальных машин использует проверку подлинности на основе Kerberos. Если вы используете проверку подлинности на основе Kerberos, необходимо настроить SPN для сетевого контроллера в Active Directory. Имя субъекта-службы — это уникальный идентификатор экземпляра службы контроллера сети, который используется аутентификацией Kerberos для связывания экземпляра службы с учетной записью входа в службу. Дополнительные сведения см. в разделе Основные имена службы.

Настройка имен участников служб (SPN)

Сетевой контроллер автоматически настраивает SPN. Все, что необходимо сделать, — предоставить разрешения компьютерам сетевого контроллера для регистрации и изменения основного имени службы.

  1. На машине контроллера домена запустите Пользователи и компьютеры Active Directory.

  2. ВыберитеВид > Дополнительно.

  3. В разделе "Компьютеры" найдите одну из учетных записей компьютера сетевого контроллера, а затем щелкните правой кнопкой мыши и выберите пункт "Свойства".

  4. Перейдите на вкладку Безопасность и нажмите кнопку Дополнительно.

  5. В списке, если все учетные записи компьютера сетевого контроллера или группа безопасности, имеющие все учетные записи компьютера сетевого контроллера, не указаны, нажмите кнопку "Добавить ", чтобы добавить ее.

  6. Для каждой учетной записи компьютера сетевого контроллера или одной группы безопасности, содержащей учетные записи компьютера сетевого контроллера:

    1. Выберите учетную запись или группу и нажмите кнопку "Изменить".

    2. В разделе "Разрешения" выберите Проверить запись servicePrincipalName.

    3. Выполните прокрутку вниз и в разделе Свойства выберите:

      • Чтение servicePrincipalName

      • Запишите servicePrincipalName

    4. Дважды нажмите кнопку ОК .

  7. Повторите шаги 3 – 6 для каждого компьютера сетевого контроллера.

  8. Закройте окно Пользователи и компьютеры Active Directory.

Сбой предоставления разрешений для регистрации или изменения SPN

В новом развертывании Windows Server 2019, если вы выбрали Kerberos для проверки подлинности клиента REST и не авторизуете узлы сетевого контроллера для регистрации или изменения имени принципала службы, операции REST на сетевом контроллере завершатся ошибкой. Это предотвращает эффективное управление инфраструктурой SDN.

Для обновления с Windows Server 2016 до Windows Server 2019, и вы выбрали Kerberos для проверки подлинности клиента REST, операции REST не блокируются, обеспечивая прозрачность существующих рабочих развертываний.

Если SPN не зарегистрирован, проверка подлинности клиента REST основана на NTLM, что является менее безопасным. Вы также получаете критическое событие в канале администрирования канала событий NetworkController-Framework, с просьбой предоставить разрешения узлам сетевого контроллера для регистрации имени основного участника службы (SPN). После предоставления разрешения сетевой контроллер автоматически регистрирует SPN, а все клиентские операции используют Kerberos.

Совет

Как правило, можно настроить сетевой контроллер для использования IP-адреса или DNS-имени для операций на основе REST. Однако при настройке Kerberos не удается использовать IP-адрес для запросов REST к сетевому контроллеру. Например, можно использовать <https://networkcontroller.consotso.com>, но нельзя использовать <https://192.34.21.3>. Имена учетных записей служб не могут функционировать, если используются IP-адреса.

Если вы использовали IP-адрес для операций REST вместе с аутентификацией Kerberos в Windows Server 2016, фактическое взаимодействие было бы посредством аутентификации NTLM. В таком развертывании после обновления до Windows Server 2019 вы продолжите использовать проверку подлинности на основе NTLM. Чтобы перейти к аутентификации на основе Kerberos, необходимо использовать DNS-имя сетевого контроллера для операций REST и предоставить разрешение узлам сетевого контроллера на регистрацию SPN (имени службы).

Следующие шаги