Autorizzazioni per creare uno spn

11

Secondo parte della documentazione che ho letto, l'account del servizio per SQL Server creerà un nome SPN all'avvio del motore di database, consentendo l'autenticazione Kerberos. Non sono stato in grado di trovare alcuna documentazione che indichi quale autorizzazione un account avrebbe bisogno per creare un SPN. Quindi, quali autorizzazioni dovrebbe avere un account (salvo l'amministratore del dominio, se possibile) per creare un SPN?

active-directory  permissions  kerberos  spn 
Thirster42
fonte

Risposte:

8

Sulla base di questo articolo MSDN e del chiarimento di @ Handyman5, la sezione "Delega dell'autorità per la modifica degli SPN" indica

Se è necessario consentire agli amministratori delegati di configurare i nomi principali di servizio (SPN), è necessario assicurarsi che i relativi account utente dispongano dell'autorizzazione di scrittura del nome del principio di servizio convalidato .

Il permesso di delegare Validated scrittura a nome principio di servizio richiede al gruppo Domain Admins o equivalenti

billinkc
fonte
2
Non necessariamente; il link che hai indicato indica che è necessario delegare al tuo account o gruppo l'autorizzazione "Nome convalida in scrittura al servizio". OP potrebbe creare un gruppo per "Keytab Admins" e delegare questa autorizzazione solo ad esso senza la necessità di rendere tutti Domain Admins.
Tuttofare, 5
Ah, quindi la riga "Appartenenza a Domain Admins, o equivalente, è il minimo richiesto per completare questa procedura" significa che è necessario il potere di amministratore di dominio per delegare tale potere, ma l'unico privilegio richiesto è la capacità di scrivere nello spn che hai indicato?
Billinkc,
Sì, è corretto.
Tuttofare, 5
Ecco un bel post sul blog che descrive come creare un gruppo di annunci con
Mark Iannucci,
3

Quindi di recente ho capito come farlo. Seguire i passaggi nell'articolo MSDN sulla delega dell'autorizzazione a scrivere SPNS.

Tuttavia, è necessario aggiungere un ulteriore autorizzazione per l'account diverso da quello Validated Scrivi Servizio nomi principali di autorizzazione che viene menzionato nell'articolo MSDN e che è servizio di scrittura nome principale .

È necessario aggiungere questa autorizzazione esattamente come il modo in cui l'articolo fornisce istruzioni sui nomi principali di scrittura al servizio convalidati (si applica agli oggetti di computer, ecc.).

Aggiungendo questa autorizzazione, è possibile scrivere sull'attributo SPN senza il controllo completo, l'amministratore di dominio o scrivere tutte le proprietà.

Come nota a margine se si aggiunge solo l' autorizzazione Convalida Scrivi al servizio Nomi principali si otterrà il seguente errore durante il tentativo di creare un nome SPN e di non negare l'accesso.

Impossibile assegnare SPN sull'account LDAPName errore 0x200b / 8203 -> La sintassi dell'attributo specificata per il servizio directory non è valida.

jkdba
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.