Я настраиваю процесс, который будет автоматически создавать SPN для недавно открытых URL-адресов служб. Я знаю, как создать SPN в Windows с помощью команды setspn -A с соответствующими правами.
Поскольку мой сервер сборки работает на Linux, мне интересно, есть ли какой-либо способ, кроме входа на сервер Windows и запуска setspn, для создания SPN с сервера Linux?
Когда вы используете setspn инструмент, все, что вы делаете, это изменяете servicePrincipalName атрибут указанного компьютера / пользователя в AD.
Чтобы сделать то же самое на компьютере с Linux, вам просто нужно использовать инструмент LDAP для подключения к контроллеру домена и изменить атрибут, как и любой другой. Однако имейте в виду, что это многозначный атрибут. Поэтому не удаляйте случайно существующие записи, которые могут существовать на цели.
Библиотека Python для удаленного управления Windows (WinRM) позволит вам запускать удаленную команду на машине Windows с машины Linux
pywinrm - это клиент Python для удаленного управления Windows (WinRM). Это позволяет вам вызывать команды на целевых машинах Windows с любого компьютера, на котором может работать Python.
https://blogs.technet.microsoft.com/heyscriptingguy/2015/10/27/using-winrm-on-linux/
https://github.com/diyan/pywinrm
Я не думаю, что есть инструмент для Linux, который регистрирует SPN в Active Directory. В зависимости от вашего приложения и того, как оно настроено, вы можете делегировать учетной записи службы возможность регистрировать SPN.
Open Active Directory Users and Computers.
To open Active Directory Users and Computers, click Start, click Run, type dsa.msc, and then press ENTER.
Click View, and verify that the Advanced Features check box is selected.
Click Advanced Features, if it is not selected.
If the domain to which you want to allow a disjoint namespace does not appear in the console, take the following steps:
In the console tree, right-click Active Directory Users and Computers, and then click Connect to Domain.
In the Domain box, type the name of the Active Directory domain to which you want to allow the disjoint namespace, and then click OK.
As an alternative, you can use the Browse button to locate the Active Directory domain.
In the console tree, right-click the node that represents the domain to which you want to allow a disjoint namespace, and then click Properties.
On Security tab, click Advanced.
On the Permissions tab, click Add.
In Enter the object name to select, type the group or user account name to which you want to delegate permission, and then click OK.
Configure the Apply onto box for Computer objects.
At the bottom of the Permissions box, select the Allow check box that corresponds to the Validated write to service principal name permissions, and then click OK on the three open dialog boxes to confirm your changes.
Close Active Directory Users and Computers.