Kerberos con nombre de entidad de seguridad de servicio (SPN)
Se aplica a: Azure Stack HCI, versiones 23H2 y 22H2; Windows Server 2022, Windows Server 2019
En este artículo se describe cómo usar la autenticación Kerberos con el nombre de entidad de seguridad de servicio (SPN).
La Controladora de red admite varios métodos de autenticación para la comunicación con clientes de administración. Puede usar la autenticación basada en Kerberos o la autenticación basada en certificados X509. También tiene la opción de no usar ninguna autenticación para las implementaciones de prueba.
System Center Virtual Machine Manager usa la autenticación basada en Kerberos. Si usa la autenticación basada en Kerberos, debe configurar un SPN para controladora de red en Active Directory. El SPN es un identificador único de la instancia de servicio de la Controladora de red, que usa la autenticación Kerberos para asociar una instancia de servicio a una cuenta de inicio de sesión de servicio. Para más información, consulte Nombres de entidad de seguridad de servicio.
Creación de nombres de entidad de seguridad de servicio (SPN)
La Controladora de red configura automáticamente el SPN. Lo único que debe hacer usted es proporcionar permisos para que las máquinas de la Controladora de red registren y modifiquen el SPN.
En la máquina del controlador de dominio, abra Usuarios y equipos de Active Directory.
Seleccione Ver > Avanzado.
En Equipos, busque una de las cuentas de máquina de la Controladora de red y, luego, haga clic con el botón derecho y seleccione Propiedades.
Seleccione la ficha Seguridad y haga clic en Opciones avanzadas.
En la lista, si no se muestran todas las cuentas de equipo de controladora de red o un grupo de seguridad que tenga todas las cuentas de equipo de controladora de red, haga clic en Agregar para agregarla.
Para cada cuenta de máquina de la Controladora de red o un único grupo de seguridad que contenga estas cuentas:
Seleccione la cuenta o grupo y haga clic en Editar.
En Permisos, seleccione Validate Write servicePrincipalName (Validar escritura de servicePrincipalName).
Desplácese hacia abajo y, en Propiedades, seleccione:
Read servicePrincipalName
Write servicePrincipalName (Escribir servicePrincipalName)
Haga clic en Aceptar dos veces.
Repita los pasos del 3 al 6 para cada máquina de la Controladora de red.
Cierre Usuarios y equipos de Active Directory.
Error al proporcionar permisos para el registro o modificación de SPN
En una nueva implementación de Windows Server 2019, si eligió Kerberos para la autenticación de cliente REST y no autoriza a los nodos de controladora de red para registrar o modificar el SPN, se producirá un error en las operaciones REST en controladora de red. Esto evita que administre eficazmente la infraestructura de SDN.
Para una actualización de Windows Server 2016 a Windows Server 2019 y ha elegido Kerberos para la autenticación de cliente REST, las operaciones REST no se bloquean, lo que garantiza la transparencia de las implementaciones de producción existentes.
Si SPN no está registrado, la autenticación de cliente REST usa NTLM, que es menos segura. También obtiene un evento crítico en el canal de administración del canal de eventos NetworkController-Framework que le pide que proporcione permisos para que los nodos de la Controladora de red registren el SPN. Una vez que proporciona permiso, la Controladora de red registra el SPN automáticamente y todas las operaciones de cliente usan Kerberos.
Sugerencia
Normalmente, puede configurar la Controladora de red para usar una dirección IP o un nombre DNS para las operaciones basadas en REST. Sin embargo, al configurar Kerberos, no puede usar una dirección IP para las consultas REST en la Controladora de red. Por ejemplo, puede usar <https://networkcontroller.consotso.com>, pero no <https://192.34.21.3>. Los nombres de entidad de seguridad de servicio no pueden funcionar si se usan direcciones IP.
Si usaba la dirección IP para las operaciones REST junto con la autenticación Kerberos en Windows Server 2016, la comunicación real habría sido a través de la autenticación NTLM. En esta implementación, una vez que actualice a Windows Server 2019, seguirá usando la autenticación basada en NTLM. Para pasar a la autenticación basada en Kerberos, debe usar el nombre DNS de la Controladora de red para las operaciones REST y proporcionar permiso para que los nodos de la Controladora de red registren el SPN.