Делегирование полномочий на создание SPN.
Делегирование полномочий на создание SPN.
Доброго времени суток Уважаемые коллеги.
Есть задача, из окружения линукс системы зарегистрировать ее SPN запись в Active Directory. Для этого нужны права Domain Admins.
Подскажите, можно ли делегировать права на создание таких SPN (для линукс машин и систем) в Actove Directory, например группе админов Linux, что бы не пердоставлять им права Domain Admins? Если да, то какие разрешения потребуются для делегирования пользователю, или группе?
Спасибо!
Есть задача, из окружения линукс системы зарегистрировать ее SPN запись в Active Directory. Для этого нужны права Domain Admins.
Подскажите, можно ли делегировать права на создание таких SPN (для линукс машин и систем) в Actove Directory, например группе админов Linux, что бы не пердоставлять им права Domain Admins? Если да, то какие разрешения потребуются для делегирования пользователю, или группе?
Спасибо!
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Делегирование полномочий на создание SPN.
Здравствуйте.
Машины вроде бы без проблем регистрируют для себя SPN.
А вот если нужна регистрация для каких-то сервисных учётных записей пользователей, то там такое право придётся выдавать явным образом (право на изменение servicePrincipalName). Пример описан здесь
Машины вроде бы без проблем регистрируют для себя SPN.
А вот если нужна регистрация для каких-то сервисных учётных записей пользователей, то там такое право придётся выдавать явным образом (право на изменение servicePrincipalName). Пример описан здесь
Re: Делегирование полномочий на создание SPN.
Алексей, спасибо.
Я вот такую тему нашел по делегированию для SPN https://docs.microsoft.com/en-us/previo ... 1(v=ws.11)
Нужно дать право Validated write to service principal name permissions. Надо попробовать в тестпроде.
Кстати, Вы LDAPS не пробовали внедрять? Мы вот собираемся перейти с LDAP на LDAPS, может у Вас были наработки такого рода?
Я вот такую тему нашел по делегированию для SPN https://docs.microsoft.com/en-us/previo ... 1(v=ws.11)
Нужно дать право Validated write to service principal name permissions. Надо попробовать в тестпроде.
Кстати, Вы LDAPS не пробовали внедрять? Мы вот собираемся перейти с LDAP на LDAPS, может у Вас были наработки такого рода?
Re: Делегирование полномочий на создание SPN.
Алексей, привет!
Подскажи, а может получиться так, что данное делегирование позволит создать дублированный SPN?
AD достаточно большое и грубо говоря одному объекту в AD можно же привязать несколько SPN и как бы не получилось так, что при делегировании и создании SPN какой ни будь другой сервис в AD перестанет работать?
Либо писать скрипт на Posh который будет проверять идентичность SPN?
Спасибо!
Подскажи, а может получиться так, что данное делегирование позволит создать дублированный SPN?
AD достаточно большое и грубо говоря одному объекту в AD можно же привязать несколько SPN и как бы не получилось так, что при делегировании и создании SPN какой ни будь другой сервис в AD перестанет работать?
Либо писать скрипт на Posh который будет проверять идентичность SPN?
Спасибо!
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Делегирование полномочий на создание SPN.
Сейчас на память могу ошибаться, но вроде бы при создании нового SPN с помощью штатной для Windows утилиты setspn выполняется проверка в домене на наличие аналогичной записи.
Скриптов для проверки никаких городить не надо, так как для выявления дублей можно использовать команду
Скриптов для проверки никаких городить не надо, так как для выявления дублей можно использовать команду
Код: Выделить всё
setspn -X
Re: Делегирование полномочий на создание SPN.
Алексей, это понятно.
Но на той стороне у коллег нет доступа к AD, как только HADOOP кластер и в любой момент они могут добавлять, удалять хосты и присоединять к домену, при этом не проверяя наличия дублирования SPN.
Но на той стороне у коллег нет доступа к AD, как только HADOOP кластер и в любой момент они могут добавлять, удалять хосты и присоединять к домену, при этом не проверяя наличия дублирования SPN.