Kerberos: разница между UPN и SPN

Question

Теперь я отменяю кросс-платформенное приложение с помощью GSSAPI. Хотя я не совсем понимаю разницу между UPN и SPN.

Окружающая среда разработки - сервер Samba4 AD DC на CentOS 6.4 с сервером Windows 2008 R2 - членский блок в домене, например EXAMPLE.COM (Вам может быть интересно, почему бы не использовать Win2008 как DC напрямую. ранее, приложение является кросс-платформенным, теперь я тестирую этот параметр. Нормальная настройка MEM Win DC-Linux работает нормально.). Я создаю нового пользователя foobar:users для запуска приложения. Когда я использую foobar@EXAMPLE.COM, то есть UPN, для аутентификации приложения от Kerberos, я продолжаю получать

Kerberos: Principal не может выступать в качестве сервера ERROR

После thread на Samba Maillist, я думаю, Я должен создать имя участника службы говорят app/dc.example.com для UPN с samba-tool

samba-tool spn add app/dc.example.com foobar 

на этот раз я буду получать еще ERR или

samba4 KDC - такой записи не найдено в HDB

Мой вопрос в чем разница между УПН и СПН? К samba-tool spn list foobar, он говорит foobarимеет servicePrincipalName app/dc.example.com. Как я могу связать UPN с SPN?

спасибо.

Answer 1

Проще говоря,

• UPN: Субъект выполнения клиентских запросов на некоторые услуги. Сущность может быть человеком или машиной. См. here.
• SPN: Запросы обработки объектов для конкретной услуги, например HTTP, LDAP, SSH и т. Д. Только машина. См. here.

UPN получает билет службы для имя участника-службы, чтобы использовать эту действительную службу.

Если ваш samba-tool позвоните по вашему запросу samba, чтобы зарегистрировать SPN app/dc.example.com в UPN foobar. Поскольку вы не предоставили сферу SPN и UPN, Samba примет область по умолчанию на машине, с которой выполняется этот вызов. В терминах Windows вы в основном связываете SPN с аппаратом UPN. Который всегда: <name>$@<REALM>. Обратите внимание на знак доллара.