schwiz 0 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Guten Tag Ich habe mich in den letzten Tagen und Wochen schlau gemacht über Kerberos. Nun habe ich noch Fragen zu SPN. Hier mal ein Screenshot zu welchen ich Fragen habe: 1.) Was sind das für ein Dienst dieser "HOST"/.... welcher Kerberos benötigt? 2.) Bei ldap sind nach dem Hostname und dem Domäne noch Werte /DP607101.... siehe Bild Wozu dienen diese Einträge z. B "ForestDnsZone.dp607101.local". Heisst dass, wenn ich bei Windows Server unter DNS schaue all die Einträge von Kerberos benutzt werden können um Authentifizierungen durchzuführen? Die Einträge mit /DomainDnsZone und ForestDNSZone verstehe ich ist ja unter DNS ja gut ersichtlich was damit gemeint ist aber wozu werden die gelb Markierten Einträge verwendet: ldap/Hostname.Domäne.Tld/Domäne (DP607101 ist der Name der Domäne.) Gruss Nicolas Zitieren Link zu diesem Kommentar
daabm 1.187 Geschrieben 16. Juni 2016 Melden Teilen Geschrieben 16. Juni 2016 Kerberos kennst Dü? http://technet.microsoft.com/library/cc772815.aspx Namen sind alles - und das Protokoll dazu. HOST ist ein generischer Eintrag für jeden COmputeraccount. Und alles und jeder, der per Kerberos-Auth auf etwas zugreifen will, benötigt ein Service-Ticket für diesen Zugriff, daher die vielen Namen und Protokolle. DNS ist drin wegen der "sicheren dynamischen Updates", dafür muß sich der Client ja beim DNS authentifizieren. Oder so ähnlich Zitieren Link zu diesem Kommentar
schwiz 0 Geschrieben 17. Juni 2016 Autor Melden Teilen Geschrieben 17. Juni 2016 Kerberos kennst Dü? http://technet.microsoft.com/library/cc772815.aspx Namen sind alles - und das Protokoll dazu. HOST ist ein generischer Eintrag für jeden COmputeraccount. Und alles und jeder, der per Kerberos-Auth auf etwas zugreifen will, benötigt ein Service-Ticket für diesen Zugriff, daher die vielen Namen und Protokolle. DNS ist drin wegen der "sicheren dynamischen Updates", dafür muß sich der Client ja beim DNS authentifizieren. Oder so ähnlich Aha ok. Wie setzte ich den z. B einen SPN für winRM? Wie geht man da vor? Man kann ja entweder im ADSI Editor direkt eintragen oder per Shell -> set SPN... Zitieren Link zu diesem Kommentar
daabm 1.187 Geschrieben 17. Juni 2016 Melden Teilen Geschrieben 17. Juni 2016 WinRM verwendet m.W. WSMAN/Hostname... Und ich würde Setspn verwenden - verhindert doppelte Einträge :) Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 17. Juni 2016 Melden Teilen Geschrieben 17. Juni 2016 Für WinRM braucht man keinen SPN setzen, das macht Powershell / WinRM beim Konfigurieren automatisch. Unter Umständen nutzt WinRM bzw. Powershell Remoting "http/". Hatte damit schon Probleme, dass dies durch eine Webapplikation blockiert wurde. Zitieren Link zu diesem Kommentar
schwiz 0 Geschrieben 24. Juni 2016 Autor Melden Teilen Geschrieben 24. Juni 2016 (bearbeitet) Für WinRM braucht man keinen SPN setzen, das macht Powershell / WinRM beim Konfigurieren automatisch. Unter Umständen nutzt WinRM bzw. Powershell Remoting "http/". Hatte damit schon Probleme, dass dies durch eine Webapplikation blockiert wurde. Wenn und wie setzt man den mit "setspn" SPNs? Man muss ja zuerst einmal wissen welcher Protokoll das Programm verwendet also z. B wsman für winRM. Dann welcher Pfad verwendet werden muss. Müssen somit auf allen DCs ein SPN für winRM konfiguriert werden oder nur dort wo halt winRM installiert ist? Man kann ja SPN auch so setzten SERVICE/HOST.Domäne.TLD/Domäne.TLD... Wie geht man da vor? bearbeitet 24. Juni 2016 von schwiz Zitieren Link zu diesem Kommentar
schwiz 0 Geschrieben 8. Juli 2016 Autor Melden Teilen Geschrieben 8. Juli 2016 Wenn und wie setzt man den mit "setspn" SPNs? Man muss ja zuerst einmal wissen welcher Protokoll das Programm verwendet also z. B wsman für winRM. Dann welcher Pfad verwendet werden muss. Müssen somit auf allen DCs ein SPN für winRM konfiguriert werden oder nur dort wo halt winRM installiert ist? Man kann ja SPN auch so setzten SERVICE/HOST.Domäne.TLD/Domäne.TLD... Wie geht man da vor? Jemand der mir da weiterhelfen kann? Danke. Zitieren Link zu diesem Kommentar
Dukel 436 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 Nochmal: Für WinRM musste ich noch nie einen SPN Setzen. Das einzige Problem ist, wenn man einen Webserver mit Kerberos nutzt, dann ist "http/" doppelt belegt. Hast du Probleme mit WinRM oder mit SPNs? Wenn du SPNs setzen willst, dann schau dir die Hilfe an. Beispiele:setspn -R daserver1 Registriert werden SPN "HOST/daserver1" und "HOST/{DNS von daserver1}"setspn -A http/daserver daserver1 Registriert wird SPN "http/daserver" für Computer "daserver1"setspn -D http/daserver daserver1 Gelöscht wird SPN "http/daserver" für Computer "daserver1"setspn -F -S http/daserver daserver1 Registriert wird SPN "http/daserver" für Computer "daserver1" ,falls kein derartiger SPN in der Gesamtstruktur vorhanden istsetspn -U -A http/daserver dauser Registriert wird SPN "http/daserver" für das Benutzerkonto "dauser"setspn -T * -T foo -X Gemeldet werden alle doppelten SPN-Registrierungen in dieser Domäne sowie foo setspn -T foo -F -Q */daserver Gefunden werden alle SPNs im Format */daserver die in der Gesamtstruktur von foo registriert sind. Sinnvollerweise machst das dann mit setspn -S http/rechnername rechnername setspn -S http/rechnername.fqdn rechnername Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 8. Juli 2016 Melden Teilen Geschrieben 8. Juli 2016 Irgendwie hatten wir SPN und WinRM gerade: http://www.mcseboard.de/topic/207715-die-folgenden-spns-konnten-vom-winrm-dienst-nicht-erstellt-werden/ Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.