- #1
S
sax553
Bekanntes Mitglied
Themenersteller
- Dabei seit
- 25.03.2005
- Beiträge
- 127
- Reaktionspunkte
- 0
Hallo leibe Forum Mitglieder,
ich habe mal eine Frage zum gebraucht von Service Principal Names (SPN) im Active Direcotry. Die Funktionsweise an sich ist mir klar, dennoch bin ich in den letzten 2 Tagen auf merkwürde Dinge gestossen.
Ich habe vor 2 Tagen für eine Web Applikation den IIS so konfiguriert, das SSO unterstützt wird. Die Anmeldung per SSO funktioniert einwandfrei. Dann wollte ich herausfinden ob mit Kerberos oder NTLM authentifiziert wird und habe dazu im Resource Kit Tool kerbtray.exe auch das Ticket mit dem Namen HTTP/<SSOWebserver> gefunden. Dan habe ich mit adsiedit im Computerkonto des Webservers nach dem SPN gesucht, diesen aber nicht gefunden. Ich habe nochmal nachgeschaut ob vielleicht der IIS Dienste auf dem Server als ein anderer Benutzer ausgeführt wird und der SPN unter dem Namen des Benutzers zu finden ist, aber Fehlanzeige. Auch die suche mit dem LDAP Query (&(servicePrincipalName= HTTP/<SSOWebserver>)) brachte kein Ergebnis. Dann habe ich mal andere Tickets mit kerbtray abgeschaut. Ich bin im Moment mit 3 File Servern verbunden, für alle habe ich auch Tickets ala cifs/FileServerName sind alle vorhanden, aber wenn ich mit dem Query (&(servicePrincipalName=cifs*)) nach den FileServern suche, finde ich keinen einzigen, auch kein Benutzerkonto welches diesen Dienst ausführen könnte wird gefunden, Trotzdem funktioniert die Authentifizierung mittels Kerberos. Woher kommen also die Tickets bzw. die SPNs, hat da einer eine erklärung für??
Alle Server sind Windows Server 2003.
Mein Client Windows XP SP3
Der Webserver hat die IIS Verion 6.0
Kerbtray v 3790
Danke vorab schonmal für die Hilfe.
Gruß Sax
ich habe mal eine Frage zum gebraucht von Service Principal Names (SPN) im Active Direcotry. Die Funktionsweise an sich ist mir klar, dennoch bin ich in den letzten 2 Tagen auf merkwürde Dinge gestossen.
Ich habe vor 2 Tagen für eine Web Applikation den IIS so konfiguriert, das SSO unterstützt wird. Die Anmeldung per SSO funktioniert einwandfrei. Dann wollte ich herausfinden ob mit Kerberos oder NTLM authentifiziert wird und habe dazu im Resource Kit Tool kerbtray.exe auch das Ticket mit dem Namen HTTP/<SSOWebserver> gefunden. Dan habe ich mit adsiedit im Computerkonto des Webservers nach dem SPN gesucht, diesen aber nicht gefunden. Ich habe nochmal nachgeschaut ob vielleicht der IIS Dienste auf dem Server als ein anderer Benutzer ausgeführt wird und der SPN unter dem Namen des Benutzers zu finden ist, aber Fehlanzeige. Auch die suche mit dem LDAP Query (&(servicePrincipalName= HTTP/<SSOWebserver>)) brachte kein Ergebnis. Dann habe ich mal andere Tickets mit kerbtray abgeschaut. Ich bin im Moment mit 3 File Servern verbunden, für alle habe ich auch Tickets ala cifs/FileServerName sind alle vorhanden, aber wenn ich mit dem Query (&(servicePrincipalName=cifs*)) nach den FileServern suche, finde ich keinen einzigen, auch kein Benutzerkonto welches diesen Dienst ausführen könnte wird gefunden, Trotzdem funktioniert die Authentifizierung mittels Kerberos. Woher kommen also die Tickets bzw. die SPNs, hat da einer eine erklärung für??
Alle Server sind Windows Server 2003.
Mein Client Windows XP SP3
Der Webserver hat die IIS Verion 6.0
Kerbtray v 3790
Danke vorab schonmal für die Hilfe.
Gruß Sax
