Kerberos dengan Nama Prinsipal Layanan (SPN)

Berlaku untuk: Azure Stack HCI, versi 23H2 dan 22H2; Windows Server 2022, Windows Server 2019

Artikel ini menjelaskan cara menggunakan autentikasi Kerberos dengan Nama Prinsipal Layanan (SPN).

Pengontrol Jaringan mendukung beberapa metode autentikasi untuk komunikasi dengan klien manajemen. Anda dapat menggunakan autentikasi berbasis Kerberos, autentikasi berbasis sertifikat X509. Anda juga memiliki opsi untuk tidak menggunakan autentikasi untuk penyebaran pengujian.

System Center Virtual Machine Manager menggunakan autentikasi berbasis Kerberos. Jika Anda menggunakan autentikasi berbasis Kerberos, Anda harus mengonfigurasi SPN untuk Pengontrol Jaringan di Direktori Aktif. SPN adalah pengidentifikasi unik untuk instans layanan Pengontrol Jaringan, yang digunakan oleh autentikasi Kerberos untuk mengaitkan instans layanan dengan akun login layanan. Untuk detail selengkapnya, lihat Nama Prinsipal Layanan.

Mengonfigurasi Nama Prinsipal Layanan (SPN)

Pengontrol Jaringan secara otomatis mengonfigurasi SPN. Yang perlu Anda lakukan hanyalah memberikan izin bagi mesin Pengontrol Jaringan untuk mendaftar dan memodifikasi SPN.

1. Pada mesin Pengendali Domain, mulai Pengguna dan Komputer Active Directory.

2. Pilih Tampilkan > Tingkat Lanjut.

3. Pada Komputer, temukan salah satu akun mesin Pengontrol Jaringan, kemudian klik kanan dan pilih Properti.

4. Pilih tab Keamanan dan klik Tingkat Lanjut.

5. Dalam daftar, jika semua akun komputer Pengontrol Jaringan atau grup keamanan yang memiliki semua akun komputer Pengontrol Jaringan tidak tercantum, klik Tambahkan untuk menambahkannya.

6. Untuk setiap akun mesin Pengontrol Jaringan atau satu kelompok keamanan yang berisi akun mesin Pengontrol Jaringan:

   1. Pilih akun atau grup dan klik Edit.

   2. Pada Izin, pilih Validasi Write servicePrincipalName.

   3. Gulir ke bawah dan pada Properti, pilih:

      • Read servicePrincipalName

      • Write servicePrincipalName

   4. Klik OK dua kali.

7. Ulangi langkah 3 - 6 untuk setiap mesin Pengontrol Jaringan.

8. Tutup Pengguna dan Komputer Active Directory.

Kegagalan untuk memberikan izin untuk pendaftaran atau modifikasi SPN

Pada penyebaran Windows Server 2019 baru, jika Anda memilih Kerberos untuk autentikasi klien REST dan tidak mengotorisasi simpul Pengontrol Jaringan untuk mendaftarkan atau memodifikasi SPN, operasi REST pada Pengontrol Jaringan akan gagal. Ini mencegah Anda mengelola infrastruktur SDN Anda secara efektif.

Untuk peningkatan dari Windows Server 2016 ke Windows Server 2019, dan Anda memilih Kerberos untuk autentikasi klien REST, operasi REST tidak diblokir, memastikan transparansi untuk penyebaran produksi yang ada.

Jika SPN tidak terdaftar, autentikasi klien REST menggunakan NTLM, yang kurang aman. Anda juga mendapatkan peristiwa penting di saluran Admin saluran peristiwa NetworkController-Framework yang meminta Anda untuk memberikan izin ke node Pengontrol Jaringan untuk mendaftarkan SPN. Setelah Anda memberikan izin, Pengontrol Jaringan mendaftarkan SPN secara otomatis, dan semua operasi klien menggunakan Kerberos.

Tip

Umumnya, Anda dapat mengonfigurasi Pengontrol Jaringan untuk menggunakan alamat IP atau nama DNS untuk operasi berbasis REST. Namun, saat mengonfigurasi Kerberos, Anda tidak dapat menggunakan alamat IP untuk kueri REST ke Pengontrol Jaringan. Misalnya, Anda dapat menggunakan <https://networkcontroller.consotso.com>, tetapi Anda tidak dapat menggunakan <https://192.34.21.3>. Nama Prinsipal Layanan tidak dapat berfungsi apabila alamat IP digunakan.

Apabila Anda menggunakan alamat IP untuk operasi REST bersama dengan autentikasi Kerberos di Windows Server 2016, komunikasi aktual akan berlangsung melalui autentikasi NTLM. Dalam penyebaran seperti itu, setelah meningkatkan ke Windows Server 2019, Anda melanjutkan penggunaan autentikasi berbasis NTLM. Untuk berpindah ke autentikasi berbasis Kerberos, Anda harus menggunakan nama DNS Pengontrol Jaringan untuk operasi REST dan memberikan izin bagi node Pengontrol Jaringan untuk mendaftarkan SPN.

Langkah berikutnya

• Mengamankan Pengontrol Jaringan