Kerberosと複数のSPN

Question

1台のサーバーに対してKerberos認証を設定することができ、正常に動作しています。サービスが同じサービスが実行されます

3）server2のを実行している

1）ADサーバ

2）サーバー1：今、私は次のようにKerberos構成に別のサーバーを追加する必要がプロジェクトを持っています

ので、私はシングル "SPN" ユーザーの両方にASSINGにSETSPNコマンドを実行：

ます。setspn -s serviceX/server1.domain.com@DOMAIN.COM SPN

ます。setspn -s serviceX/server2.domain.com@DOMAIN.COM SPN

それから私はcommanのktpass実行：

のktpass -princ serviceX/server1.domainを。 com@DOMAIN.COM -ptype KRB5_NT_PRINCIPAL -crypto AES256-SHA1 -mapuser serviceX \ SPN -out C：\キータブ+ rndPass

何shoul私はそれを動作させるために次に行うのですか？ server2にktpassを実行するには？

警告：私は警告を取得していますserver2のために同じコマンドを試してみました 設定に失敗しましたUPN serviceX/server2.domain.com p型1 10 ETYPE 0x12を kinits VNOに "serviceX/server2.domain.com"失敗するでしょう。

ケルベロス認証は、同じサービスでも別のサーバーでどのように設定しますか？ 2人のspnユーザーと2つのキータブを作成しますか？ 私はサービスがそれを必要とするので、私は1つのkeytabのすべてを持つ必要があると思う。 助けてください？

Answer 1

あなたはディレクトリではなく、サーバの各ユーザアカウントに関連付けられてSPNを使用して同じキータブを使用して2台の異なるサーバーにserviceXを実行することができます。これを行うには、SPNを実際のサーバー名ではなく仮想サーバー名（別名VIP）に結びます。私は現在の組織でこれを常に行っています。したがって、SPNはDNSで仮想サーバー名を使用するため、その仮想名の後ろの実サーバーにその名前に「応答」するクエリを送信するようにロードバランサを構成するだけです。したがって、この場合、server1とserver2の両方に一意のキータブを使用することを心配するのではなく、というserver-vipのキータブを作成し、両方のサーバーに同じキータブをコピーします。ロードバランサがない場合は、DNSラウンドロビンを使用するだけでこれを実行できます。以下の例は、新しいキータブの作成構文です.1つのことがどのように変化するかに注目してください。これがうまくいく別の理由は、サーバーの変更に対して回復力があるからです。最終的にserver1とserver2を廃止すると、その日が来るとkeytabをserver3とserver4に簡単にコピーできます。

のktpass -princ serviceX/サーバーVIP .domain.com @ DOMAIN。COM -ptype KRB5_NT_PRINCIPAL -crypto AES256-SHA1 -mapuser serviceX \ SPN -out C：\キータブ+ rndPass