SPN的重要性 | 保障服务安全和身份验证

什么是 Service Principal Name(SPN)?

SPN 是用于标识网络服务的唯一名称。在 Windows 中,SPN 与 Kerberos 认证一起使用。
SPN 是由两部分组成的:

  • 服务类型(Service Class): 表示服务的类型,如 HTTPSQLMSSQL 等。
  • 主机名(Host): 标识提供服务的实际主机。

一个完整的 SPN 形式为 service class/host:port. 例如,HTTP/server.example.comMSSQL/server.example.com:1433

SPN 的作用

  • Kerberos 认证: SPN 是在 Kerberos 认证中用于标识服务的方式。客户端和服务端之间的 Kerberos 通信依赖于正确配置的 SPN。

  • Delegation: SPN 也可以与委派(Delegation)一起配置,允许服务在用户身份上执行其他服务。

SPN 安全管控

SPN 安全性对于 Kerberos 认证的正常运行相关。
SPN 安全性要点:

  • 唯一性: 每个 SPN 必须在整个域中是唯一的。确保不同服务不使用相同的 SPN。

  • 安全权限: 修改或注册 SPN 需要适当权限。一般,只有域管理员或设置权限的用户才能执行配置。

  • SPN 注册: SPN 可以在用户或计算机账户上注册,也可以在服务账户上注册。

SPN 注册和管理:

  • 手动注册: 使用 setspn 命令手动注册和管理 SPN。

    setspn -S HTTP/server.example.com userAccount
    
  • 自动注册: 服务(如 SQL Server)在安装时会自动注册 SPN,后续根据实际生产需要手动调整。

问题排查和日志

  • 事件日志: 使用 Windows 事件查看器,检查 Kerberos 相关事件,在windows组件 kerberos 事件中查看 SPN 相关问题。关注事件 ID 3、4、14 等。

  • setspn 工具: 使用 setspn -Q 命令检查存在冲突的 SPN。

Kerberos 预身份验证

  • Kerberos 预身份验证(Constrained Delegation): 当使用 Kerberos 限制委派时,为服务配置正确的 SPN,以允许委派的服务。

示例场景

  • Web 服务: 对于托管在 IIS 上的 Web 服务,为对应的服务账户注册 HTTP SPN。

  • 数据库服务: 对于 SQL Server,注册 MSSQL SPN 以确保 Kerberos 认证。

SPN 安全管理

定期审查 SPN 配置:

  • 问题: 在系统或服务配置更改时,会影响 SPN 的正确性。
  • 安全管理: 定期审查 SPN 配置,发生以下情况时:
    • 服务迁移到新的服务器。
    • 更改了服务账户密码。
    • 有新服务引入或旧服务下线。

安全风险

  1. 身份伪装攻击:
  • 潜在风险: 恶意用户能够注册或修改错误的 SPN,尝试进行身份伪装攻击,伪装成合法服务来获取未经授权的访问。

  • 安全建议: 确保只有授权的管理员具有注册和修改 SPN 的权限,以减少身份伪装的风险。监控 SPN 注册,及时检测并纠正异常情况。

  1. Kerberos 票据窃取攻击:
  • 潜在风险: SPN 配置不当,导致 Kerberos 票据窃取攻击。攻击者通过在网络上抓取 Kerberos 票据或利用弱密码来获取用户的凭据。

  • 安全建议: 使用强密码策略,确保服务账户和用户账户的密码强度。定期检查 Kerberos 日志检测异常活动。

  1. Delegation 不当:
  • 潜在风险: 错误配置委派(Delegation)导致服务在用户的身份上执行其他服务,导致委派被滥用。

  • 安全建议: 仅为需要委派权限的服务账户启用委派,严格限制范围。避免直接为用户账户分配 SPN。

  1. 未经授权的 SPN 修改:
  • 潜在风险: 攻击者修改 SPN,引发身份验证和授权问题。

  • 安全建议: 限制对修改 SPN 的权限,仅允许授权的管理员执行此类操作。

  1. 配置错误导致服务中断:
  • 潜在风险: 不正确的 SPN 配置可能导致服务无法正常运行,造成业务中断。

  • 安全建议: 在更改系统或服务配置时,仔细审查和测试 SPN 的影响,确保不会引入不必要的风险。


~喜欢的话,请收藏 | 关注(✪ω✪)~
~万一有趣的事还在后头呢,Fight!!(o^-^)~''☆ミ☆ミ~……

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/641056.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

RK3399平台开发系列讲解(网络篇)什么是Linux路由

🚀返回专栏总目录 文章目录 一、什么是路由二、路由配置命令沉淀、分享、成长,让自己和他人都能有所收获!😄 一、什么是路由 一张路由表中会有多条路由规则。每一条规则至少包含这三项信息。 目的网络:这个包想去哪儿?出口设备:将包从哪个口扔出去?下一跳网关:下一个…

vscode显示函数列表插件 - AZ AL Dev Tools/AL Code Outline

官网: AZ AL Dev Tools/AL Code Outline - Visual Studio Marketplace 适用于 Visual Studio Code 的 AZ AL 开发工具/AL 代码大纲 此扩展最初被命名为“AL 代码大纲”,因为它最初是 AL 代码大纲面板,从中可以在 AL 语法节点上运行不同的代码…

js对象数组去重封装

1.简单的数组去重就使用常用的去重方式好了 可以看这里: js多种数组去重方法-CSDN博客 2. 下面是关于object的数组去重 // 普通数组和 Object数组去重 const list1 [1, 4, 45, 6, 3, 4, 5, 3, 2, 1, 3, 2]; const list2 ["sss", "sss", &q…

Angular:跨域请求携带 cookie

新建拦截器,设置 XMLHttpRequest:withCredentials 属性 1. 新建文件夹 http-interceptors 该文件夹下可有多个不同用途的拦截器2. 新建拦截器 common.interceptor.ts import { HttpEvent, HttpHandler, HttpInterceptor, HttpRequest } from "an…

Go语言实现新年快乐的效果

在 Go 语言中,你可以使用 fmt 包来实现新年快乐的效果。以下是一个简单的例子: package mainimport ("fmt""time" )func printNewYear() {fmt.Println("\033[31m新年快乐!\033[0m")fmt.Println("\033[32…

电脑 wifi 常断

问题 电脑wifi网络经常断。 详细问题 笔者使用笔记本电脑,发现每过三五分钟,wifi便会自动断开。 解决方案 步骤1、搜索框搜索设备管理器。 步骤2、找到网络适配器并点击。 步骤2、找到网络适配器菜单中的Wireless相关内容,右键&#x…

企业微信开发:客户端调试

开启客户端调试 按照下面官网的说明操作,就可以开启客户端调试了。 官网文档链接:企业微信开发者中心:常见问题 - FAQ - 客户端调试 进入调试模式 进入方式:Ctrl Alt Shift D 按快捷键 Ctrl Alt Shift D,进入…

(十)Head first design patterns组合模式(c++)

组合模式 组合模式在参考链接中已经讲得很好了,这里只简单讲讲就好。 组合模式的意图是表达部分-整体层次结构。 当你需要管理一个组合对象,又要管理这个组合对象的单个对象。这个时候就可以让这个组合对象和单个对象继承同一个基类,以便用…

Golang 通过开源库 go-redis 操作 NoSQL 缓存服务器

前置条件: 1、导入库: import ( "github.com/go-redis/redis/v8" ) 2、搭建哨兵模式集群 具体可以百度、谷歌搜索,网上现成配置教程太多了,不行还可以搜教程视频,跟着视频博主一步一个慢动作&#xff0…

《绝地求生大逃杀》怎么买衣服 Steam商店服装购买方法

《绝地求生大逃杀》怎么买衣服?游戏中好看的服装有不少,大家可能开箱并没开出来,想买却不知具体的入手途径,今天闲游盒带来《绝地求生大逃杀》怎么买衣服 Steam商店服装购买方法,希望对各位有帮助。 打开Steam&#xf…

Oracle中如何把整个表作为参数传递

当然可以!在Oracle中,你可以使用表类型的变量来传递表作为参数。首先,你需要创建一个表类型的变量,然后在存储过程或函数中声明这个变量。接下来,你可以将实际表的数据赋值给这个变量,并在存储过程或函数中…

JavaEE进阶(6)SpringBoot 配置文件(作用、格式、properties配置文件说明、yml配置文件说明、验证码案例)

接上次博客:JavaEE进阶(5)Spring IoC&DI:入门、IoC介绍、IoC详解(两种主要IoC容器实现、IoC和DI对对象的管理、Bean存储、方法注解 Bean)、DI详解:注入方式、总结-CSDN博客 目录 配置文件作用 Sprin…

技巧--75. 颜色分类/medium 理解度C

75. 颜色分类 1、题目2、题目分析3、复杂度最优解代码示例4、适用场景 1、题目 给定一个大小为 n 的数组 nums ,返回其中的多数元素。多数元素是指在数组中出现次数 大于 ⌊ n/2 ⌋ 的元素。 你可以假设数组是非空的,并且给定的数组总是存在多数元素。…

LeetCode刷题日记

LeetCode刷题日记 HashMap 第1题----两数之和 原题地址 [https://leetcode.cn/problems/two-sum/]: 解题思路: 将数组中每个元素通过两次遍历使两数之差target,最后由结果target得到对应数组下标。此时算法的时间复杂度为O(n^2)。故而放弃此方法。 由于…

Flink对接Kafka的topic数据消费offset设置参数

scan.startup.mode 是 Flink 中用于设置消费 Kafka topic 数据的起始 offset 的配置参数之一。 scan.startup.mode 可以设置为以下几种模式: earliest-offset:从最早的 offset 开始消费数据。latest-offset:从最新的 offset 开始消费数据。…

thinkphp5实战之phpstudy v8环境搭建,解决Not Found找不到路径问题

引言 thinkphp以快速、简约的大道至简的思想广受欢迎,适合开发小型项目。本地环境下,phpstudy v8是一款比较优秀的集成环境软件。部署完项目后,访问的时候傻眼,报错。 解决方案 不要慌,这个是伪静态的原因。选择apach…

Kong关键概念 - 服务(Services)

服务(Services) 在Kong Gateway中,服务是代表外部上游(upstream)API或微服务的实体。例如,数据转换微服务、计费API等。 服务的主要属性是其URL。您可以使用一个字符串来指定URL,或者通过分别…

在 wsl-ubuntu 里通过 docker 启动 gpu-jupyter

在 wsl-ubuntu 里通过 docker 启动 gpu-jupyter 0. 背景1. 安装 docker-ce2. 安装 NVIDIA Container Toolkit3. 使用 nvidia-ctk 命令配置容器运行4. 通过 docker 运行 nvidia-smi5. 运行 gpu-jupyter6. 访问 gpu-jupyter7. 测试 gpu-jupyter 是否可以访问 cuda 0. 背景 今天突…

Vue3的ref和reactive

目录 1、ref的基本使用 2、reactive的基本使用 3、ref操作dom 4、ref与reactive的异同 1、ref的基本使用 ref创建数据可以是基本类型也可以是引用类型 ref函数创建响应式数据,返回值是一个对象 模版中使用ref数据,省略.value,js代码中不能省略 获…

i18n多国语言Internationalization的动态实现

一、数据动态的更新 在上一篇i18n多国语言Internationalization的实现-CSDN博客,可能会遇到一个问题,我们在进行英文或中文切换时,并没有办法对当前的数据进行动态的更新。指的是什么意思呢?当前app.js当中一个组件内容&#xff…