Extensiones del protocolo Kerberos (SPNs & PACs)
Last updated
Last updated
Un SPN es un identificador de una instancia de un servicio (como un servidor DNS, de Impresión o Web según sea el caso), esto le permite al cliente identificar al servicio en la red. Sin un SPN seteado correctamente, no se podrá realizar la autenticacion Kerberos. Cualquier servidor puede consultar por los SPN's de otros servidores, esto es así para que pueda distinguir entre otros servicios corriendo en esa máquina.
El formato de un SPN es <Service Class>/<Host>:<Port>, por ejemplo un servidor Web podría ser así: www/apache-server.seccorp.local.
El PAC se lo utiliza en la autenticación Kerberos para verificar el control a recursos, validando la identidad de quien se quiere autenticar y si tiene los permisos para hacerlo. Como Kerberos se encarga de la autenticación de un cliente a un servicio , PAC se encarga de ver si este tiene los permisos necesarios para acceder al recurso.
La información que se puede encontrar en un PAC puede ser la siguiente:
Nombre del usuario
Grupo al que pertenece
Información de seguridad
