我现在正在使用 GSSAPI 对跨平台应用程序进行 Kerberized。
虽然我不清楚 UPN 和 SPN 之间的区别。
开发环境是 CentOS 6.4 上的 Samba4 AD DC 服务器,带有 Windows Server 2008 R2 域中的成员盒,例如 Examples.COM(您可能会好奇为什么不直接使用 Win2008 作为 DC。正如我之前所说,应用程序是跨平台的,我现在正在这个设置中进行测试。正常的 Win DC-Linux MEM 设置工作正常。)。
我创建一个新用户foobar:users
运行应用程序。
当我使用[email protected] /cdn-cgi/l/email-protection
,即 UPN,为了针对 Kerberos 验证应用程序,我不断收到
Kerberos:主体不能充当服务器错误
继thread https://lists.samba.org/archive/samba/2012-July/168331.html在 Samba 邮件列表上,我想我应该创建一个服务主体名称app/dc.example.com
对于 UPN 而言samba-tool
samba-tool spn add app/dc.example.com foobar
这次我会收到另一个错误
Samba4 KDC - 在 hdb 中找不到此类条目
我的问题是 UPN 和 SPN 有什么区别?
经过samba-tool spn list foobar
, 它说foobar
has服务主体名称app/dc.example.com
。
如何将 UPN 与 SPN 关联?
非常感谢。
简单的说,
-
UPN:执行客户端对某些服务的请求的实体。实体可以是人或机器。看here http://msdn.microsoft.com/en-us/library/windows/desktop/ms721629%28v=vs.85%29.aspx#_security_user_principal_name_gly.
-
SPN:处理特定服务请求的实体,例如 HTTP、LDAP、SSH 等。仅限机器。看here http://msdn.microsoft.com/en-us/library/windows/desktop/ms721625%28v=vs.85%29.aspx#_security_service_principal_name_gly.
UPN 检索服务票让 SPN 使用该实际服务。
If your samba-tool
调用您的请求 samba 来注册 SPNapp/dc.example.com
至 UPNfoobar
。由于您没有提供 SPN 和 UPN 的领域,Samba 将采用执行此调用的计算机的默认领域。在 Windows 术语中,您主要将 SPN 绑定到计算机 UPN。这始终是:<name>$@<REALM>
。注意美元符号。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)