Explicación de los nombres principales de servicio en Active Directory

En este artículo, hablaremos sobre la administración de identidades en Windows Server 2016. Específicamente, hablaremos de SPN (nombres principales de servicio) y lo maravillosos que son.

En primer lugar, un SPN es como un alias para un objeto de AD, que puede ser una cuenta de servicio, una cuenta de usuario o un objeto de computadora, que permite a otros recursos de AD saber qué servicios se están ejecutando bajo qué cuentas y crea asociaciones entre ellos en Active Directory.

Hay varias formas de comprobar qué SPN están asignados a un objeto. Uno es a través de Usuarios y equipos de Active Directory y el otro está usando la línea de comandos.

Ver SPN en Active Directory

Para poder ver los SPN utilizando Usuarios y equipos de Active Directory, debe tener Características avanzadas habilitado en la consola yendo a la Ver menú. Después de habilitarlo, vaya al objeto AD deseado, elija Propiedades y ve al Editor de atributos lengüeta:

Luego busca el atributo servicePrincipalName y haga clic en Editar. Aquí verá una lista de todos los SPN y también la posibilidad de agregar SPN.

La otra forma es usar el setspn –l en un símbolo del sistema para ver los SPN de ese objeto específico.

También podemos agregar otros SPN a este objeto, dependiendo de lo que aloje el objeto, el tipo de servicio, etc.

Crear SPN en Active Directory

Digamos que tenemos un nuevo servicio y queremos agregar un SPN, para que otros recursos de AD puedan averiguar qué servidor aloja ese servicio y con qué usuario se está autenticando.

Primero, creemos una cuenta de servicio en Active Directory.

New-ADServiceAccount -Name MSA-syslab-1 -RestrictToSingleComputer

Ahora, asociaremos la cuenta de servicio administrada a nuestro servidor.

Add-ADComputerServiceAccount -Identity rmc-syslab-1 -ServiceAccount MSA-syslab-1

A continuación, instalemos esa cuenta de servicio en el servidor.

Install-ADServiceAccount MSA-syslab-1

Finalmente creemos nuestro servicio genérico.

New-Service -Name GENSERV -BinaryPathName C:WindowsSystem32notepad.exe

Ahora usamos el setspn –s comando que crea un SPN y usa la opción –s para asegurarse de que no existe un SPN duplicado.

setspn -s GENSERV/rmc-syslab-1.rmcsyslab.com rmcsyslabMSA-syslab-1

El comando agrega el servicio GENSERV alojado en rmc-syslab-1 ejecutándose bajo el usuario de MSA MSA-syslab-1. Ahora lo que queda es configurar el servicio para que se ejecute con la cuenta MSA.

Como puede ver debajo del Acceder pestaña en las propiedades del servicio, configuré la cuenta de MSA y dejé la contraseña en blanco, ya que sabemos que las contraseñas de MSA son administradas por Windows.

Ahora revisemos el Cuenta de servicio y vea qué SPN se le ha agregado.

Como puede ver, tiene el SPN de GENSERV / rmc-syslab-1.rmcsyslab.com ya que este usuario inicia sesión y autentica ese servicio.

Bueno, eso es todo en los SPN por ahora. Tenga en cuenta que los SPN son muy sensibles. Solo debe sumergirse en esto si hay un problema o si está creando algún servicio personalizado.

Gracias por tu tiempo y espero que este artículo te haya resultado interesante. ¡Disfrutar!

Santiago
Los ordenadores siempre han sido una gran parte de mi vida. Decidí crear este sitio para plasmar todo lo aprendido durante tantos años trasteando con estás maquinas. Cuando no estoy editando mi web, me dedico a reparar aerogeneradores.

Deja un comentario