DelegConfig对Kerberos配置的提示

假设准对如下情况排错:client-----IISServer------FileServer,其中IISServer的http service以FQDN的形式提供,service运行在custom account下面。

DelegConfig的Report功能会针对service-host这样的情况检查kerberos配置是否成功,如下:

1. Is Domain Account?

  由于Delegation的实现需要iisserver向KDC获取service ticket,所以该service运行的帐号必须是域帐户。这里域帐户有两种,一种是domain user账户,一种是host name,其中host name这种形式的账户以Network service、local system等service account的形式体现。

 

2. Has Valid SPN?

  如果client是以http://fqdn的形式请求service,而该service运行于一个custom account下面,那么必须针对该请求为这个域帐号设置spn,具体形式为setspn -a http/fqdn domain\account

  这样client端请求该http service的时候,从dc那里拿到的ticket才是以该domain\account加密的。而IISserver的该service运行于该account下面,这样IISserver才能解密。

 

3. Has Duplicate SPN?

  如果存在重复的spn,即两个域帐户都注册了同样的service,那么kdc不知道使用哪个域帐户对client请求的ticket进行加密。

  在server 2008里,可以使用setspn -x来检测是否存在重复的spn。

 

4. Trusted for Delegation?

  只有DC信任的账户,IIS server才能拿着client传过来的credential,去访问后端的file server。

  对于普通user账户,默认没有delegation页面,但是一旦设置了spn,该页面就会出现。

 

Impersonation level包括四个层次:

1. Delegation:iis server可以以client的身份去访问后端的file server

2. Impersonation:iis server只能以client的身份去访问自己这台machine上的文件。

3. Identification: iis连自己这台machine上的文件都不能访问,但是可以得知client的身份是怎样的。

4. Annoymous:iis连client的身份都不知道。

5. none

posted on 2010-12-21 13:09  李志鹏  阅读(361)  评论(0)    收藏  举报

导航