Делегирование полномочий на создание SPN.

Ответить
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Делегирование полномочий на создание SPN.

Сообщение cobion »

Доброго времени суток Уважаемые коллеги.
Есть задача, из окружения линукс системы зарегистрировать ее SPN запись в Active Directory. Для этого нужны права Domain Admins.

Подскажите, можно ли делегировать права на создание таких SPN (для линукс машин и систем) в Actove Directory, например группе админов Linux, что бы не пердоставлять им права Domain Admins? Если да, то какие разрешения потребуются для делегирования пользователю, или группе?

Спасибо!
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Делегирование полномочий на создание SPN.

Сообщение Алексей Максимов »

Здравствуйте.

Машины вроде бы без проблем регистрируют для себя SPN.
А вот если нужна регистрация для каких-то сервисных учётных записей пользователей, то там такое право придётся выдавать явным образом (право на изменение servicePrincipalName). Пример описан здесь
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Re: Делегирование полномочий на создание SPN.

Сообщение cobion »

Алексей, спасибо.
Я вот такую тему нашел по делегированию для SPN https://docs.microsoft.com/en-us/previo ... 1(v=ws.11)
Нужно дать право Validated write to service principal name permissions. Надо попробовать в тестпроде.

Кстати, Вы LDAPS не пробовали внедрять? Мы вот собираемся перейти с LDAP на LDAPS, может у Вас были наработки такого рода?
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Re: Делегирование полномочий на создание SPN.

Сообщение cobion »

Алексей, привет!
Подскажи, а может получиться так, что данное делегирование позволит создать дублированный SPN?
AD достаточно большое и грубо говоря одному объекту в AD можно же привязать несколько SPN и как бы не получилось так, что при делегировании и создании SPN какой ни будь другой сервис в AD перестанет работать?

Либо писать скрипт на Posh который будет проверять идентичность SPN?

Спасибо!
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Делегирование полномочий на создание SPN.

Сообщение Алексей Максимов »

Сейчас на память могу ошибаться, но вроде бы при создании нового SPN с помощью штатной для Windows утилиты setspn выполняется проверка в домене на наличие аналогичной записи.

Скриптов для проверки никаких городить не надо, так как для выявления дублей можно использовать команду

Код: Выделить всё

setspn -X
cobion
Почетный гражданин
Сообщения: 176
Зарегистрирован: 22 апр 2016 07:26

Re: Делегирование полномочий на создание SPN.

Сообщение cobion »

Алексей, это понятно.
Но на той стороне у коллег нет доступа к AD, как только HADOOP кластер и в любой момент они могут добавлять, удалять хосты и присоединять к домену, при этом не проверяя наличия дублирования SPN.
Ответить

Вернуться в «Windows Server 2016»