Kerberos avec un nom principal de service (SPN)
S’applique à : Azure Stack HCI, versions 22H2 et 21H2 ; Windows Server 2022, Windows Server 2019
Le contrôleur de réseau prend en charge plusieurs méthodes d’authentification pour la communication avec les clients de gestion. Vous pouvez utiliser l’authentification Kerberos, l’authentification basée sur les certificats X509. Vous avez également la possibilité d’utiliser aucune authentification pour les déploiements de test.
System Center Virtual Machine Manager utilise l’authentification Kerberos. Si vous utilisez l’authentification Kerberos, vous devez configurer un nom de principal de service (SPN) pour le contrôleur de réseau dans Active Directory. Le SPN est un identificateur unique pour l’instance de service du contrôleur de réseau, qui est utilisé par l’authentification Kerberos pour associer une instance de service à un compte de connexion de service. Pour plus d'informations, consultez la page Noms de principal de service.
Configurer des noms de principal du service (SPN)
Le contrôleur de réseau configure automatiquement le SPN. Il vous suffit de fournir des autorisations pour que les machines du contrôleur de réseau inscrivent et modifient le SPN.
Sur la machine du contrôleur de domaine, démarrez Utilisateurs et ordinateurs Active Directory.
Sélectionnez Affichage > Avancé.
Sous Ordinateurs, recherchez l’un des comptes d’ordinateur du contrôleur de réseau, puis faites un clic droit et sélectionnez Propriétés.
Sélectionnez l'onglet Sécurité et cliquez sur Avancé.
Dans la liste, si tous les comptes d’ordinateur du contrôleur de réseau ou un groupe de sécurité disposant de tous les comptes d’ordinateur du contrôleur de réseau ne sont pas répertoriés, cliquez sur Ajouter pour l’ajouter.
Pour chaque compte d’ordinateur du contrôleur de réseau ou un seul groupe de sécurité contenant les comptes d’ordinateur du contrôleur de réseau :
a. Sélectionnez le compte ou le groupe et cliquez sur Modifier.
b. Sous Autorisations, sélectionnez Valider Write servicePrincipalName.
d. Faites défiler vers le bas et sous Propriétés, sélectionnez :
Read servicePrincipalName
Write servicePrincipalName
e. Cliquez deux fois sur OK.
Répétez les étapes 3 à 6 pour chaque contrôleur de réseau.
Fermez Utilisateurs et ordinateurs Active Directory.
Échec de la fourniture d’autorisations pour l’inscription/modification spN
Sur un nouveau déploiement Windows Server 2019, si vous avez choisi Kerberos pour l’authentification du client REST et que vous n’accordez pas l’autorisation aux nœuds du contrôleur de réseau d’inscrire ou de modifier le SPN, les opérations REST sur le contrôleur de réseau échouent pour vous empêcher de gérer le SDN.
Pour une mise à niveau de Windows Server 2016 vers Windows Server 2019 et que vous avez choisi Kerberos pour l’authentification du client REST, les opérations REST ne sont pas bloquées, garantissant ainsi la transparence des déploiements de production existants.
Si SPN n’est pas inscrit, l’authentification du client REST utilise NTLM, ce qui est moins sécurisé. Vous obtenez également un événement critique dans le canal Administration du canal d’événements NetworkController-Framework vous demandant de fournir des autorisations aux nœuds du contrôleur de réseau pour inscrire le SPN. Une fois que vous avez fourni l’autorisation, le contrôleur de réseau inscrit automatiquement le SPN et toutes les opérations clientes utilisent Kerberos.
Conseil
En règle générale, vous pouvez configurer le contrôleur de réseau pour qu’il utilise une adresse IP ou un nom DNS pour les opérations basées sur REST. Toutefois, lorsque vous configurez Kerberos, vous ne pouvez pas utiliser d’adresse IP pour les requêtes REST sur le contrôleur de réseau. Par exemple, vous pouvez utiliser <https://networkcontroller.consotso.com>, mais pas <https://192.34.21.3>. Les noms de principal de service ne peuvent pas fonctionner si les adresses IP sont utilisées.
Si vous utilisiez l’adresse IP pour les opérations REST avec l’authentification Kerberos dans Windows Server 2016, la communication réelle aurait été effectuée sur l’authentification NTLM. Dans ce déploiement, une fois que vous effectuez une mise à niveau vers Windows Server 2019, vous continuez à utiliser l’authentification basée sur NTLM. Pour passer à l’authentification Kerberos, vous devez utiliser le nom DNS du contrôleur de réseau pour les opérations REST et fournir l’autorisation aux nœuds du contrôleur de réseau d’inscrire le SPN.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour