Форум IT-KB

Доброго времени суток Уважаемые коллеги.
Есть задача, из окружения линукс системы зарегистрировать ее SPN запись в Active Directory. Для этого нужны права Domain Admins.

Подскажите, можно ли делегировать права на создание таких SPN (для линукс машин и систем) в Actove Directory, например группе админов Linux, что бы не пердоставлять им права Domain Admins? Если да, то какие разрешения потребуются для делегирования пользователю, или группе?

Спасибо!

Здравствуйте.

Машины вроде бы без проблем регистрируют для себя SPN.
А вот если нужна регистрация для каких-то сервисных учётных записей пользователей, то там такое право придётся выдавать явным образом (право на изменение servicePrincipalName). Пример описан здесь

Алексей, спасибо.
Я вот такую тему нашел по делегированию для SPN https://docs.microsoft.com/en-us/previo ... 1(v=ws.11)
Нужно дать право Validated write to service principal name permissions. Надо попробовать в тестпроде.

Кстати, Вы LDAPS не пробовали внедрять? Мы вот собираемся перейти с LDAP на LDAPS, может у Вас были наработки такого рода?

Алексей, привет!
Подскажи, а может получиться так, что данное делегирование позволит создать дублированный SPN?
AD достаточно большое и грубо говоря одному объекту в AD можно же привязать несколько SPN и как бы не получилось так, что при делегировании и создании SPN какой ни будь другой сервис в AD перестанет работать?

Либо писать скрипт на Posh который будет проверять идентичность SPN?

Спасибо!

Сейчас на память могу ошибаться, но вроде бы при создании нового SPN с помощью штатной для Windows утилиты setspn выполняется проверка в домене на наличие аналогичной записи.

Скриптов для проверки никаких городить не надо, так как для выявления дублей можно использовать команду

Алексей, это понятно.
Но на той стороне у коллег нет доступа к AD, как только HADOOP кластер и в любой момент они могут добавлять, удалять хосты и присоединять к домену, при этом не проверяя наличия дублирования SPN.