Сообщения

1

Обсуждение переводов и статей / Re: Обсуждение статьи "Как правильно сформировать keytab-файл с несколькими SPN..."

« : 04 Июнь 2020, 11:12:36 »

Егор, наверно Вы меня не поняли.

Вы пишете статью про "правильное" формирование keytab-файла и при этом описываете то, что в keytab включается помимо SPN-записи с fqdn сервера(или службы) ещё и SPN-запись с fqdn имеми домена оправдывая это "удобстовом" (типа теперь вообще можно будет разные имена использовать на веб-сервере). Но смысл в том, что это неправильно и так делать нельзя. Это противоречит логике управления SPN в Active Directory.
Представьте, что условно завтра Вам потребуется развернуть ещe 2,3,4... новых веб-сервера аналогичных, и чтобы для каждого сервера поддерживалась кучка разных SPN...и следуя Вашей логике, можно будет сделать аналогичные keytab-файлы для каждого из этих серверов. Но это совсем не так, ибо утилиты управления SPN проверяют уникальность SPN-записей во всём домене.
Вы можете проверить это сами. Просто попытайтесь вручную создать одну и туже SPN-запись вида HTTP/windom.net@WIMDOM.NET двум разным учётным записям.

setspn -A HTTP/windom.net SERVER1
setspn -A HTTP/windom.net SERVER2

2

Обсуждение переводов и статей / Re: Обсуждение статьи "Как правильно сформировать keytab-файл с несколькими SPN..."

« : 03 Июнь 2020, 21:34:10 »

Здравсвуйте, Егор.
 
Прочитал Вашу статью и у меня возникают большие сомнения относительно правильности использования метода, когда добавляется SPN с именем домена (без имени хоста или сервиса) к какой-либо учётной записи (имеется ввиду HTTP/windom.net@WIMDOM.NET).
А что Вы будете делать, когда потребуется создать аналогичные записи для других сервисов или серверов?
Повторное создание SPN с именем HTTP/windom.net@WIMDOM.NET для другой учётной записи уже будет выглядеть как явная ошибка, с точки зрения той же утилиты setspn, так как перед регистрацией SPN она всегда проверяет уникальность SPN-записей во всём каталоге Active Directory.