Kerberos:UPN和SPN之间的区别

Question

我现在正在使用GSSAPI来破解跨平台应用程序.虽然我不清楚UPN和SPN之间的区别.

开发环境是CentOS 6.4上的Samba4 AD DC服务器,Windows服务器2008 R2是域中的成员盒,例如EXAMPLE.COM(您可能很好奇为什么不直接使用Win2008作为DC.正如我之前所说,应用程序是跨平台的,我现在正在测试这个设置.正常的Win DC-Linux MEM设置工作正常.).我创建了一个新用户foobar:users来运行该应用程序.当我使用foobar@EXAMPLE.COMUPN来验证针对Kerberos的应用程序时,我一直在接收

Kerberos:Principal可能不会充当服务器错误

在Samba maillist上的一个帖子之后,我想我应该app/dc.example.com为UPN 创建一个服务主体名称samba-tool

samba-tool spn add app/dc.example.com foobar

这次我会收到另一个错误

Samba4 KDC - 在hdb中找不到这样的条目

我的问题是UPN和SPN之间有什么区别？通过samba-tool spn list foobar,它说foobar 具有 servicePrincipalName app/dc.example.com.我怎么能将UPN与SPN联系起来？

非常感谢你.

Answer 1

简单的说,

• UPN:执行客户端请求某个服务的实体.实体可以是人或机器.看到这里.
• SPN:处理特定服务请求的实体,例如HTTP,LDAP,SSH等.仅限机器.看到这里.

UPN检索SPN 的服务票证以使用该实际服务.

如果您samba-tool打电话请求samba将SPN注册app/dc.example.com到UPN foobar.由于您尚未提供SPN和UPN的域,因此Samba将采用此调用执行的机器的默认域.在Windows术语中,您通常将SPN绑定到计算机UPN.总是:<name>$@<REALM>.注意美元符号.