Я настраиваю установку Subversion на базе Windows через SVNSERVE, при которой пользователи аутентифицируются в Active Directory через SASL и GSSAPI. Я знаю, что некоторые провайдеры предлагают предварительно упакованные установки Subversion со встроенной поддержкой AD из коробки, но в моей ситуации это не вариант.
Я использую Subversion 1.7.4 для Windows, MIT Kerberos V5 (3.2.2) для Windows и буду обращаться к репозиторию с клиентов Tortoise SVN на компьютерах с Win64. SVNSERVE работает как системная служба под учетной записью домена.
Я полагаю, что для моего сервера репозитория у меня есть все основные компоненты (svn, Kerberos, с SVNSERVE, откладывающим аутентификацию SASL, которая затем настраивается на использование GSSAPI для механизма). Теперь я дошел до того, что попытка запросить репозиторий приводит к ошибке «Не удалось согласовать механизм аутентификации», чего я ожидаю в этот момент, поскольку я не определил имя участника-службы для хоста репозитория. для запроса Kerberos. Network Capture сообщает мне, что spn "svn/*FQDN_of_host_omitted* не является распознанным SPN, чего я и ожидаю на данный момент...
Итак, хотя я знаю, что мне нужно имя участника-службы, мне нужно небольшое руководство по получению правильного набора имени участника-службы, так как я не могу сделать это самостоятельно в этой тестовой среде (должен быть запрошен, поэтому я хочу убедиться, Я прошу правильную комбинацию). Я считаю, что мне нужны имена участников-служб, перечисленные ниже, но я был бы очень признателен, если бы кто-нибудь мог подтвердить, что я на правильном пути. Я не понимаю, требуется ли имя участника-службы исключительно для службы svn на хосте, или для службы svn на хосте через назначенную учетную запись, или и то, и другое.
Итак, я считаю, что мне может понадобиться одно или все из следующего. Какие из них правильные/неправильные?:
#1 SPN for svn service on non-FQDN of host machine:
setspn -F -A svn/*nonFQDN_of_host* *nonFQDN_of_host*
#2 SPN for svn service on FQDN of host machine:
setspn -F -A svn/*FQDN_of_host* *FQDN_of_host*
#3 SPN for svn service from non-FQDN of host through service account:
setspn -F -A svn/*nonFQDN_of_host* *domain\svnhostaccount*
#4 SPN for svn service from FQDN of host through service account:
setspn -F -A svn/*FQDN_of_host* *domain\svnhostacccount*
Заранее спасибо за помощь, и, надеюсь, вопрос не слишком глуп на первый взгляд :)