SCROLL
6 месяцев назад
1 692 просмотров
Комментариев нет
Среднее время на прочтение: 1 мин.

Service Principal Name (SPN). Как добавлять, сбрасывать и удалять SPNs

Service Principal Name (SPN) — это уникальный идентификатор экземпляра службы. SPN используются в аутентификации Kerberos для связывания экземпляра службы с учетной записью входа в службу.

Чтобы управлять SPN вручную, можно воспользоваться утилитой setspn.exe, предоставляемой Microsoft.

Ниже приведены некоторые из доступных переключателей для setspn.

  • -A: Добавить запись в учетную запись (явным образом)
  • -S: Добавить запись в учетную запись (только после предварительной проверки на наличие дубликатов)
  • -D: Удалить запись из учетной записи
  • -X: Выполнить поиск в домене на наличие повторяющихся имен SPN
  • -Q: Запросить в домене конкретное имя SPN
Чтобы производить действия с SPN, вы должны быть администратором домена или обладать соответствующими привилегиями.
Содержание

Добавить или зарегистрировать SPNs

JUQwJTk0JUQwJUJCJUQxJThGJTIwJUQwJUI0JUQwJUJFJUQwJUIxJUQwJUIwJUQwJUIyJUQwJUJCJUQwJUI1JUQwJUJEJUQwJUI4JUQxJThGJTIwU1BOJTIwJUQwJUJBJTIwJUQwJUIwJUQwJUJBJUQwJUJBJUQwJUIwJUQxJTgzJUQwJUJEJUQxJTgyJUQxJTgzJTIwKCVEMCVCMCVEMCVCQSVEMCVCQSVEMCVCMCVEMSU4MyVEMCVCRCVEMSU4MiUyMCVEMCVCQyVEMCVCRSVEMCVCNiVEMCVCNSVEMSU4MiUyMCVEMCVCMSVEMSU4QiVEMSU4MiVEMSU4QyUyMCVEMCVCQSVEMCVCMCVEMCVCQSUyMCVEMSU4MyVEMSU4NyVEMCVCNSVEMSU4MiVEMCVCRCVEMCVCMCVEMSU4RiUyMCVEMCVCNyVEMCVCMCVEMCVCRiVEMCVCOCVEMSU4MSVEMSU4QyUyQyUyMCVEMSU4MiVEMCVCMCVEMCVCQSUyMCVEMCVCOCUyMCVEMCVCRSVEMCVCMSVEMSU4QSVEMCVCNSVEMCVCQSVEMSU4MiUyMCVEMCVCQSVEMCVCRSVEMCVCQyVEMCVCRiVEMSU4QyVEMSU4RSVEMSU4MiVEMCVCNSVEMSU4MCklMkMlMjAlRDAlQjglRDElODElRDAlQkYlRDAlQkUlRDAlQkIlRDElOEMlRDAlQjclRDElODMlRDAlQjklRDElODIlRDAlQjUlMjAlRDAlQkElRDAlQkUlRDAlQkMlRDAlQjAlRDAlQkQlRDAlQjQlRDElODMlM0E=

setspn -S service/name hostname

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

Пример. Зарегистрируем SPN — HTTP/website.contoso.com для аккаунта svc.account.

c2V0c3BuJTIwLVMlMjBIVFRQJTJGd2Vic2l0ZS5jb250b3NvLmNvbSUyMHN2Yy5hY2NvdW50
Checking domain DC=contoso,DC=com

Registering ServicePrincipalNames for CN=svc.account,OU=Users,DC=contoso,DC=local
        HTTP/website.contoso.com
Updated object
SPN не чувствительны к регистру при использовании на компьютерах под управлением Microsoft Windows. Но системы на базе Linux, чувствительны к регистру и требуют правильного использования регистра для правильной работы.

Просмотреть SPNs

Чтобы просмотреть список SPN, зарегистрированных для целевых учетных записей, используйте команду.

c2V0c3BuJTIwJUUyJTgwJTkzTCUyMGhvc3RuYW1l

JUQwJTlGJUQxJTgwJUQwJUI4JUQwJUJDJUQwJUI1JUQxJTgwLiUyMCVEMCU5MiVEMSU4QiVEMCVCMiVEMCVCNSVEMCVCNCVEMCVCNSVEMCVCQyUyMCVEMCVCMiVEMSU4MSVEMCVCNSUyMCVEMCVCNyVEMCVCMCVEMSU4MCVEMCVCNSVEMCVCMyVEMCVCOCVEMSU4MSVEMSU4MiVEMSU4MCVEMCVCOCVEMSU4MCVEMCVCRSVEMCVCMiVEMCVCMCVEMCVCRCVEMCVCRCVEMSU4QiVEMCVCNSUyMFNQTiUyMCVEMCVCNCVEMCVCQiVEMSU4RiUyMCVEMSU4MyVEMSU4NyVEMCVCNSVEMSU4MiVEMCVCRCVEMCVCRSVEMCVCOSUyMCVEMCVCNyVEMCVCMCVEMCVCRiVEMCVCOCVEMSU4MSVEMCVCOCUyMHN2Yy5hY2NvdW50Lg==

c2V0c3BuJTIwLUwlMjBzdmMuYWNjb3VudA==
UmVnaXN0ZXJlZCUyMFNlcnZpY2VQcmluY2lwYWxOYW1lcyUyMGZvciUyMENOJTNEc3ZjLmFjY291bnQlMkNPVSUzRFVzZXJzJTJDREMlM0Rjb250b3NvJTJDREMlM0Rsb2NhbCUzQQ==
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwSFRUUCUyRndlYnNpdGUuY29udG9zby5jb20=

Сбросить SPN

Если SPN, которые вы видите, отображают как вам кажется, неправильные имена, подумайте о том, чтобы сбросить настройки компьютера или учетной записи и использовать SPN по умолчанию, используйте команду:

c2V0c3BuJTIwLVIlMjBob3N0bmFtZQ==

Пример. Сбросим SPN для учетной записи svc.account.

setspn -R svc.account
UmVnaXN0ZXJpbmclMjBTZXJ2aWNlUHJpbmNpcGFsTmFtZXMlMjBmb3IlMjBDTiUzRHN2Yy5hY2NvdW50JTJDT1UlM0RVc2VycyUyQ0RDJTNEY29udG9zbyUyQ0RDJTNEbG9jYWw=
JTIwJTIwJTIwJTIwJTIwJTIwJTIwJTIwSE9TVCUyRnN2Yy5hY2NvdW50LmNvbnRvc28ubG9jYWw=
        HOST/svc.account
VXBkYXRlZCUyMG9iamVjdA==

Удалить SPN

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

c2V0c3BuJTIwLUQlMjBzZXJ2aWNlJTJGbmFtZSUyMGhvc3RuYW1l

JUQwJTlGJUQxJTgwJUQwJUI4JUQwJUJDJUQwJUI1JUQxJTgwLiUyMCVEMCVBMyVEMCVCNCVEMCVCMCVEMCVCQiVEMCVCOCVEMCVCQyUyMFNQTiUyMEhPU1QlMkZzdmMuYWNjb3VudC5jb250b3NvLmxvY2FsJTIwJUQxJTgzJTIwJUQxJTgzJUQxJTg3JUQwJUI1JUQxJTgyJUQwJUJEJUQwJUJFJUQwJUI5JTIwJUQwJUI3JUQwJUIwJUQwJUJGJUQwJUI4JUQxJTgxJUQwJUI4JTIwc3ZjLmFjY291bnQu

c2V0c3BuJTIwLUQlMjBIT1NUJTJGc3ZjLmFjY291bnQuY29udG9zby5sb2NhbCUyMHN2Yy5hY2NvdW50
Unregistering ServicePrincipalNames for CN=svc.account,OU=Users,DC=contoso,DC=local
        HOST/svc.account.contoso.local
VXBkYXRlZCUyMG9iamVjdA==
 

ПОНРАВИЛАСЬ ИЛИ ОКАЗАЛАСЬ ПОЛЕЗНОЙ СТАТЬЯ, ПОДДЕРЖИ АВТОРА ДОНАТОМ

Обсуждение

0 комментариев

Нет комментариев.

Похожие записи