Создание Service Principal Name (SPN) и keytab-файла для сервисной учетной записи
Ниже приведен пример создания SPN (Service Principal Name) и keytab-файла для сервисной учетной записи в домене под управлением Samba.
-
Создайте SPN с полным доменным именем:
Пример команды:
samba-tool spn add HTTP/lcm-dev-2-lcm-1@LCM.TERRA.INNO.TECH lcm-dev-2-lcm-1
-
Создайте SPN с коротким именем:
Пример команды:
$ samba-tool spn add HTTP/lcm-dev-2-lcm-1 lcm-dev-2-lcm-1
-
Выполните проверку созданных SPN:
Пример команды:
$ samba-tool spn list lcm-dev-2-lcm-1
Пример вывода:
lcm-dev-2-lcm-1 User CN=lcm-dev-2-lcm-1,CN=Users,DC=lcm,DC=terra,DC=inno,DC=tech has the following servicePrincipalName: HTTP/lcm-dev-2-lcm-1@LCM.TERRA.INNO.TECH HTTP/lcm-dev-2-lcm-1
-
Выполните проверку атрибутов сервисной учетной записи:
Пример команды:
$ samba-tool user show lcm-dev-2-lcm-1
Пример вывода со значимыми параметрами:
cn: lcm-dev-2-lcm-1 name: lcm-dev-2-lcm-1 sAMAccountName: lcm-dev-2-lcm-1 userPrincipalName: lcm-dev-2-lcm-1@lcm.terra.inno.tech objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=lcm,DC=terra,DC=inno,DC=tech msDS-SupportedEncryptionTypes: 24 accountExpires: 0 servicePrincipalName: HTTP/lcm-dev-2-lcm-1@LCM.TERRA.INNO.TECH servicePrincipalName: HTTP/lcm-dev-2-lcm-1 distinguishedName: CN=lcm-dev-2-lcm-1,CN=Users,DC=lcm,DC=terra,DC=inno,DC=tech
-
Создайте keytab-файл:
Пример команды:
$ sudo samba-tool domain exportkeytab ./lcm-user.keytab --principal=lcm-dev-2-lcm-1
-
Чтобы просмотреть файл, выполните команду:
$ sudo klist -e -k ./lcm-user.keytab
Пример файла:
Keytab name: FILE:./lcm-user.keytab KVNO Principal ---- -------------------------------------------------------------------------- 7 lcm-dev-2-lcm-1@LCM.TERRA.INNO.TECH (aes256-cts-hmac-sha1-96) 7 lcm-dev-2-lcm-1@LCM.TERRA.INNO.TECH (aes128-cts-hmac-sha1-96) 7 lcm-dev-2-lcm-1@LCM.TERRA.INNO.TECH (DEPRECATED:arcfour-hmac)
-
Сохраните файл на сервере, на который будет устанавливаться бэкенд продукта. Путь к файлу необходимо будет указать на этапе его настройки.