windows - 需要通过 GSSAPI 为 svn/svnserve 身份验证确定正确的 SPN 以赢得 2008 AD

Question

我正在通过 SVNSERVE 设置基于 Windows 的 Subversion 设置，在该设置下，用户通过 SASL 和 GSSAPI 向 Active Directory 进行身份验证。我知道一些供应商提供预打包的 Subversion 安装，集成了开箱即用的 AD 支持，但在我的情况下这些不是一个选项。

我在 Windows 上使用 Subversion 1.7.4，在 Windows 上使用 MIT Kerberos V5 (3.2.2)，并且将从 Win64 机器上的 Tortoise SVN 客户端访问存储库。 SVNSERVE 作为域帐户下的系统服务运行。

对于我的存储库服务器，我相信我已经准备好所有基本部分(svn、Kerberos，SVNSERVE 推迟到 SASL 身份验证，然后配置为使用 GSSAPI 作为机制)。我现在到了这样的地步:尝试查询存储库会导致“无法协商身份验证机制”，这是我预计此时的情况，因为我还没有为存储库主机定义 SPN查询 Kerberos。 Network Capture 告诉我 spn“svn/*FQDN_of_host_omitted* 不是公认的 SPN，这正是我此时所期望的...

所以，虽然我知道我需要一个 SPN，但我需要一些关于获取正确 SPN 集的指导，因为我不能在这个测试环境中自己做(必须请求，所以我想确保我要求正确的组合)。我相信我需要下面列出的 SPN，但如果有人可以验证我的方向是否正确，我将不胜感激。我感到困惑的是，SPN 是仅针对主机的 svn 服务，还是通过指定帐户针对主机的 svn 服务，还是两者。

因此，我相信我可能需要以下一项或全部。如果有的话，哪一个是对/错的？:

#1 SPN for svn service on non-FQDN of host machine:
setspn -F -A svn/*nonFQDN_of_host* *nonFQDN_of_host*

#2 SPN for svn service on FQDN of host machine:
setspn -F -A svn/*FQDN_of_host* *FQDN_of_host*

#3 SPN for svn service from non-FQDN of host through service account:
setspn -F -A svn/*nonFQDN_of_host* *domain\svnhostaccount*

#4 SPN for svn service from FQDN of host through service account:
setspn -F -A svn/*FQDN_of_host* *domain\svnhostacccount*

在此先感谢您的帮助，希望这个问题从表面上看不会太愚蠢 :)

Answer 1

我在翻阅旧问题时偶然发现了这个问题。回答晚了，因为我从 2016 年 10 月才成为成员(member)。这个问题的答案如下。注意:使用 setspn -S 而不是 setspn -A，原因是“-S”开关会查找重复项，而旧的“-A”开关不会。此外，在设置新的 SPN 时，通常首选将 SPN 绑定(bind)到服务帐户，而不是主机帐户，因为这种方式在您希望通过负载均衡器发送流量时提供了更大的灵 active ；流量可以路由到预先确定的可用机器池中的任何主机。而绑定(bind)到主机的 SPN 只能在指定的主机上运行。综上所述，在您提出问题时，您可能希望按如下方式运行 setspn 命令:

#1 主机非 FQDN 上 svn 服务的 SPN:

setspn -F -S svn/*nonFQDN_of_host* *nonFQDN_of_host*

#2 主机 FQDN 上 svn 服务的 SPN:

setspn -F -S svn/*FQDN_of_host* *FQDN_of_host*

#3 通过服务帐户从主机的非 FQDN 获取 svn 服务的 SPN:

setspn -F -S svn/*nonFQDN_of_host* *svnhostaccount*

#4 通过服务帐户从主机的 FQDN 获取 svn 服务的 SPN:

setspn -F -S svn/*FQDN_of_host* *svnhostacccount*