服务主体名称(SPN)是服务实例的唯一标识符。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。这允许客户端应用程序请求服务对帐户进行身份验证,即使客户端没有该帐户名。 在Kerberos身份验证服务可以使用SPN对服务进行身份验证之前,SPN 必须在服务实例用来登录的账户对象上注册。一个特定的SPN只能在一个账户上注册。
服务主体名称(SPN)是Kerberos客户端用于唯一标识给特定Kerberos目标计算机的服务实例名称。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林中的计算机上安装多个服务实例,则每个实例都必须具有自己的SPN。如果客户端可能使用多个名称进行身份验证,则给定的服务实例可以具有多个SPN。例如,SPN总是包含运行服...
例如,可以使用 <https://networkcontroller.consotso.com>,但不能使用 <https://192.34.21.3>。 如果使用 IP 地址,服务主体名称无法正常发挥作用。 如果在 Windows Server 2016 中将 IP 地址用于 REST 操作并使用 Kerberos 身份验证,则实际通信中会使用 NTLM 身份验证。 在此类部署中,升级到 Windows Server 2019...
SPN,ServicePrincipal Names,即服务主体名称,是服务实例(比如:HTTP、SMB、MySQL等服务)在使用 Kerberos 身份验证的网络上的唯一标识符,其由服务类、主机名和端口组成。Kerberos 认证过程使用 SPN 将服务实例与服务登录账户相关联,如果想使用 Kerberos 协议来认证服务,那么必须正确配置SPN。在使用 Kerberos 身份验证的网络...
0x00 前言SPN是服务器上所运行服务的唯一标示,每个使用Kerberos的服务都需要一个SPN,这样客户端才可以辨认这个服务。 在之前写的一篇关于kerberos认证 域渗透-Kerberos认证里面就有相关与SPN的知识,但是没有展…
服务主体名称(SPN)是Kerberos客户端用于唯一标识给特定Kerberos目标计算机的服务实例名称。 服务主体名称是服务实例(可以理解为一个服务,比如 HTTP、MSSQL)的唯一标识符。Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。 在内部网络中,SPN扫描通过 查询向域控制器执行服务发现。这对于红队而言,可以帮助他们识...
Kerberos 服务票证由客户端获取,并传递给服务器以获取对该服务器上的资源的访问权限。 他们使用只有请求资源的服务器才能解密的机密进行签名。 当 SPN 位于 Active Directory 中的错误帐户上时,使用的机密是 SPN 打开的帐户之一,而不是服务器之一。 因此,服务器无法解密票证并向客户端返回错误。 解决方法 若要...
Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN),则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后,客户端计算机使用该票证来访问网络资源。在内部网络中,SPN扫描通过 查询向域控制器执行服务发现。这对于红队而言,可以帮助他们识别正在运行重要...
服务主体名称(SPN)是服务实例的唯一标识符。Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。这允许客户端应用程序请求服务对帐户进行身份验证,即使客户端没有该帐户名。 在Kerberos身份验证服务可以使用SPN对服务进行身份验证之前,SPN必须在服务实例用来登录的账户对象上注册。一个特定的SPN只能在一个账户上注册。