Kerberos: UPN和SPN的区别

Question

我现在正在用GSSAPI开发一个跨平台应用程序。虽然我不清楚UPN和SPN之间的区别。

开发环境是Samba4 CentOS 6.4上的AD服务器，而Windows 2008 R2是域中的成员框，比如EXAMPLE.COM (您可能很好奇为什么不直接使用Win2008作为DC。正如我前面所说的，应用程序是跨平台的，我现在在这个环境中进行测试。正常的Win DC-Linux设置运行良好。)我创建一个新的用户foobar:users来运行应用程序。当我使用foobar@EXAMPLE.COM (即UPN )对Kerberos验证应用程序时，我一直在接收

Kerberos:主体不能充当服务器错误

在Samba邮件列表上的线程之后，我认为我应该为带有samba-tool的UPN创建一个服务主体名称，比如app/dc.example.com

samba-tool spn add app/dc.example.com foobar

这一次我会收到另一个错误

Samba4 KDC -在hdb中没有这样的条目

我的问题是，UPN和SPN之间有什么区别？samba-tool spn list foobar称，foobar拥有servicePrincipalName app/dc.example.com。我如何将UPN与SPN联系起来？

非常感谢。

Answer 1

简单来说，

• UPN:执行客户端对某些服务的请求的实体。实体可以是人也可以是机器。见这里。
• SPN:实体处理特定服务的请求，例如，HTTP等，仅限于机器。见这里。

UPN检索SPN使用该实际服务的服务票证。

如果您的samba-tool调用您的请求samba将SPN app/dc.example.com注册到UPN foobar。由于您没有提供SPN和UPN的域，Samba将假定此调用是从该机器的默认域执行的。在Windows术语中，主要是将SPN绑定到机器UPN。它永远是：<name>$@<REALM>。注意美元符号。