SCROLL
4 недели назад
269 просмотров
Комментариев нет
Среднее время на прочтение: 1 мин.

Service Principal Name (SPN). Как добавлять, сбрасывать и удалять SPNs

Service Principal Name (SPN) — это уникальный идентификатор экземпляра службы. SPN используются в аутентификации Kerberos для связывания экземпляра службы с учетной записью входа в службу.

Чтобы управлять SPN вручную, можно воспользоваться утилитой setspn.exe, предоставляемой Microsoft.

Ниже приведены некоторые из доступных переключателей для setspn.

  • -A: Добавить запись в учетную запись (явным образом)
  • -S: Добавить запись в учетную запись (только после предварительной проверки на наличие дубликатов)
  • -D: Удалить запись из учетной записи
  • -X: Выполнить поиск в домене на наличие повторяющихся имен SPN
  • -Q: Запросить в домене конкретное имя SPN
Чтобы производить действия с SPN, вы должны быть администратором домена или обладать соответствующими привилегиями.
Содержание

Добавить или зарегистрировать SPNs

Для добавления SPN к аккаунту (аккаунт может быть как учетная запись, так и объект компьютер), используйте команду:

setspn -S service/name hostname

— где service/name — это SPN, которое вы хотите добавить, а hostname — это фактическое имя хоста компьютерного объекта, который вы хотите обновить.

Пример. Зарегистрируем SPN — HTTP/website.contoso.com для аккаунта svc.account.

setspn -S HTTP/website.contoso.com svc.account
Checking domain DC=contoso,DC=com

Registering ServicePrincipalNames for CN=svc.account,OU=Users,DC=contoso,DC=local
        HTTP/website.contoso.com
Updated object
SPN не чувствительны к регистру при использовании на компьютерах под управлением Microsoft Windows. Но системы на базе Linux, чувствительны к регистру и требуют правильного использования регистра для правильной работы.

Просмотреть SPNs

Чтобы просмотреть список SPN, зарегистрированных для целевых учетных записей, используйте команду.

setspn –L hostname

Пример. Выведем все зарегистрированные SPN для учетной записи svc.account.

setspn -L svc.account
Registered ServicePrincipalNames for CN=svc.account,OU=Users,DC=contoso,DC=local:
        HTTP/website.contoso.com

Сбросить SPN

Если SPN, которые вы видите, отображают как вам кажется, неправильные имена, подумайте о том, чтобы сбросить настройки компьютера или учетной записи и использовать SPN по умолчанию, используйте команду:

setspn -R hostname

Пример. Сбросим SPN для учетной записи svc.account.

setspn -R svc.account
Registering ServicePrincipalNames for CN=svc.account,OU=Users,DC=contoso,DC=local
        HOST/svc.account.contoso.local
        HOST/svc.account
Updated object

Удалить SPN

Чтобы удалить SPN из учетной записи или объекта компьютер, используйте команду:

setspn -D service/name hostname

Пример. Удалим SPN HOST/svc.account.contoso.local у учетной записи svc.account.

setspn -D HOST/svc.account.contoso.local svc.account
Unregistering ServicePrincipalNames for CN=svc.account,OU=Users,DC=contoso,DC=local
        HOST/svc.account.contoso.local
Updated object

Обсуждение

0 комментариев

Нет комментариев.

Похожие записи