Назад | Перейти на главную страницу

Kerberos SPN для одного FQDN на нескольких серверах

Это немного странно. Я создаю новый веб-сервер, размещенный в стеке LAMP, чтобы заменить старый сервер IIS. Его предполагаемое DNS-имя в настоящее время занято старым сервером. У меня есть SSL-сертификаты, настроенные для нового сервера, и конфигурации, готовые для переноса DNS, но я бы хотел заранее настроить SPN / TGT (HTTP / {fqdn} @ {domain}) на хосте как хорошо. У меня может быть отдельная учетная запись службы для ее обслуживания, проблема в том, что полное доменное имя в настоящее время занято.

Будет ли создание этого SPN на хосте LAMP лишить хост IIS возможности аутентифицировать пользователей через Kerberos?

Фактически невозможно будет связать одно и то же имя участника-службы с новым участником, пока оно не будет удалено из старого участника. Если вы можете убедить AD дублировать его на нескольких принципалах, у вас будут странные результаты при попытке получить билет Kerberos. В зависимости от ряда факторов он либо выберет исходные учетные данные, либо новые учетные данные, либо просто заблокирует, потому что нашел и то, и другое.

Так что не делай этого. Я рекомендую рассматривать новую службу как уникальную до тех пор, пока вы не списываете старый сервер.