Azure

為 Web 伺服器上的多個服務帳戶生成 SPN

  • March 15, 2018

我正在嘗試在我的組織中實現 Azure SSO。我有一個 Web 伺服器,在這些站點下託管多個網站和 Web 應用程序。使用者以以下方式訪問它們

https:// < SiteName > / < ApplicationName > /

我們為不同的應用程序配置了一個服務帳戶,這意味著我有多個服務帳戶用於單個“網站”,並且相同的服務帳戶用於不同的應用程序。

現在要實現 Azure SSO,我必須為我的服務帳戶配置 SPN,並且按照微軟的規定,相同的 spn 不能分配給多個服務帳戶。

配置 spn 我們有以下命令

Setspn –S HTTP/NETBIOS_NAME_OF_IIS_SERVER domain\username
Setspn –S HTTP/FQDN_OF_IIS_SERVER domain\username

如何為所有服務帳戶分配相同的 FQDN/NetBIOS 名稱?

即使我為我的網站使用 DNS 名稱,我仍然必須將相同的 spn 分配給多個服務帳戶。

是的,這是 SPN 的一個基本問題,在單個伺服器上,一個 URL 不能有多個 SPN。因此,在您的不同應用程序在單個網站下執行並且您需要使用委託或 SSO 的情況下,它們都必須使用相同的服務帳戶執行,因此您可以為該 URL 註冊一個 SPN。

如果這不可能,您需要在不同 URL 下的同一伺服器上使用不同的服務帳戶託管您的應用程序(假設您為 URL 設置了 SPN),或者如果您僅限使用伺服器名稱,則需要使用不同的伺服器

引用自:https://serverfault.com/questions/901777