none
kerberos構成における既知の問題 RRS feed

  • 質問

  • お世話になります。Sharepoint2010のkerberos認証について質問させて下さい。

    Sharepoint2010において、以下のtechnetに記載されているkerberos構成における既知の問題があります。
    http://technet.microsoft.com/ja-jp/library/gg502606.aspx

    既定以外のポート (80、443 以外のポート) に作成したwebアプリケーションにkerberos認証で接続する場合、SPNのサービスチケット要求が適切に行われない問題です。(port番号なしのSPNを要求してしまう)

    本問題の回避策として、ポート番号を付けた状態と付けない状態の両方で SPN を登録するという方法がありますが、この方法でなぜkerberos認証が成功するのかが分かりません。

    port番号なしのSPNサービスチケットを要求すれば、結局返ってくるSPNサービスチケットもport番号なしのものであり、
    既定以外のポートのwebアプリケーションへは接続できないのではないでしょうか。

    この回避策によって認証が成功する仕組みをご存知の方いらっしゃいましたらご教授頂けないでしょうか。
    よろしくお願い致します。

    2013年7月12日 14:32

回答

  • port番号なしのSPNサービスチケットを要求すれば、結局返ってくるSPNサービスチケットもport番号なしのものであり、
    既定以外のポートのwebアプリケーションへは接続できないのではないでしょうか。

    こんにちは。

    port番号なしのSPNサービスチケットを要求すれば、「port番号なしのSPNを持つサービス」にアクセスするためのチケットがドメインコントローラーから返ってきます。

    たとえば、port番号5555で実行しているWebアプリケーションのIDに「port番号なしのSPN」を登録しておくことにより、クライアントがport番号なしのSPNサービスチケットを要求したときに、port番号5555のWebアプリケーションのIDにアクセスするためのサービスチケットが返されます。クライアントがそのサービスチケットを、port番号5555のWebアプリケーションのIDに提出すると、そのWebアプリケーションのIDは、自分宛てのサービスチケットなので正しく復号でき、アクセスが許可されます。

    ※WebアプリケーションのIDとは、ワーカープロセスの実行ユーザーがサーバーのローカルユーザーであればサーバーのコンピュータアカウント、ワーカープロセスの実行ユーザーがドメインユーザーであればそのユーザーアカウントです。

    • 回答としてマーク NShu1 2013年7月14日 16:03
    2013年7月14日 4:20

すべての返信

  • port番号なしのSPNサービスチケットを要求すれば、結局返ってくるSPNサービスチケットもport番号なしのものであり、
    既定以外のポートのwebアプリケーションへは接続できないのではないでしょうか。

    こんにちは。

    port番号なしのSPNサービスチケットを要求すれば、「port番号なしのSPNを持つサービス」にアクセスするためのチケットがドメインコントローラーから返ってきます。

    たとえば、port番号5555で実行しているWebアプリケーションのIDに「port番号なしのSPN」を登録しておくことにより、クライアントがport番号なしのSPNサービスチケットを要求したときに、port番号5555のWebアプリケーションのIDにアクセスするためのサービスチケットが返されます。クライアントがそのサービスチケットを、port番号5555のWebアプリケーションのIDに提出すると、そのWebアプリケーションのIDは、自分宛てのサービスチケットなので正しく復号でき、アクセスが許可されます。

    ※WebアプリケーションのIDとは、ワーカープロセスの実行ユーザーがサーバーのローカルユーザーであればサーバーのコンピュータアカウント、ワーカープロセスの実行ユーザーがドメインユーザーであればそのユーザーアカウントです。

    • 回答としてマーク NShu1 2013年7月14日 16:03
    2013年7月14日 4:20
  • 分かり易いご説明ありがとうございます。
    SPNについて勉強不足でした。
    SPNはサービスを一意に見分けるためのIDであり、特に文字列に意味は持たないのですね。

    大変助かりました、ありがとうございました。

    2013年7月14日 16:07