Kerberos: sự khác biệt giữa UPN và SPN

Question

Tôi hiện đang kerberizing một ứng dụng đa nền tảng với GSSAPI. Mặc dù tôi không rõ ràng về sự khác biệt giữa UPN và SPN.

Môi trường phát triển là máy chủ ADN Samba4 trên CentOS 6.4 với máy chủ Windows 2008 R2 một hộp thành viên trong miền, nói EXAMPLE.COM (Bạn có thể tò mò tại sao không sử dụng Win2008 làm DC trực tiếp. Và như tôi đã nói trước đây, ứng dụng là đa nền tảng, bây giờ tôi đang thử nghiệm trong cài đặt này. Cài đặt MEM DC-Linux Win bình thường hoạt động tốt.). Tôi tạo người dùng mới foobar:users để chạy ứng dụng. Khi tôi sử dụng foobar@EXAMPLE.COM, tức là UPN, để xác thực các ứng dụng chống Kerberos, tôi tiếp tục nhận

Kerberos: Hiệu trưởng có thể không hoạt động như máy chủ LỖI

Sau một thread trên Samba maillist, tôi nghĩ tôi nên tạo một tên chính dịch vụ nói app/dc.example.com cho UPN với samba-tool

samba-tool spn add app/dc.example.com foobar 

lần này tôi sẽ nhận err khác hoặc

Samba4 KDC - không có mục nhập như vậy được tìm thấy trong hdb

Câu hỏi của tôi là sự khác biệt giữa một UPN và SPN là gì? Bởi samba-tool spn list foobar, nó cho biết foobarcó servicePrincipalName app/dc.example.com. Làm cách nào tôi có thể kết hợp UPN với SPN?

Cảm ơn bạn rất nhiều.

Answer 1

một cách đơn giản,

• UPN: Một thực thể thực hiện các yêu cầu của khách hàng đối với một số dịch vụ. Thực thể có thể là con người hoặc máy. Xem here.
• SPN: Yêu cầu xử lý đối tượng cho một dịch vụ cụ thể, ví dụ: HTTP, LDAP, SSH, v.v. Chỉ máy. Xem here.

A UPN truy xuất vé dịch vụ để SPN sử dụng dịch vụ thực tế đó.

Nếu số samba-tool gọi yêu cầu samba của bạn để đăng ký SPN app/dc.example.com với UPN foobar. Vì bạn chưa cung cấp lĩnh vực SPN và UPN, Samba sẽ giả định lĩnh vực mặc định của máy mà cuộc gọi này được thực hiện từ đó. Trong thuật ngữ Windows, bạn chủ yếu liên kết SPN với máy UPN. Mà luôn là: <name>$@<REALM>. Lưu ý ký hiệu đô la.