Laboratoire Microsoft |  CertifExpress 
 Le Forum de Réfèrence sur les Technologies Microsoft - http://www.forum-microsoft.org

ADFS - SPN en double lors de la création du service

Modérateurs : Modérateurs, Modérateurs_Systèmes

ADFS - SPN en double lors de la création du service

Message par -Sylvain- » Lun 26 Sep 2016, 11:21

Bonjour,

J'essaye en vain de configurer mon ADFS mais je reste bloqué face à l'erreur suivante :

Une erreur s'est produite lors d'une tentative de définition du SPN du compte de service spécifié. Définissez manuellement le SPN du compte de service. Pour plus d'informations sur la définition manuelle du SPN du compte de service, consultez le guide de déploiement d'AD FS. Message d'erreur : Le SPN requis pour ce service de fédération est déjà défini sur un autre compte Active Directory. Choisissez un autre nom de service de fédération, puis réessayez.


Je comprends bien l'erreur mais je ne sais pas comment la résoudre.

Merci d'avance pour votre aide

Environnement : Windows 2012 R2
-Sylvain-
Avatar de l’utilisateur
-Sylvain-
Full Member
Full Member
 
Message(s) : 133
Inscription : Mar 27 Mai 2008, 12:18
Localisation : Seine et marne

Re: ADFS - SPN en double lors de la création du service

Message par -Sylvain- » Mar 27 Sep 2016, 16:58

Aucune idée ou aucune piste sur le sujet ?
N'hésitez pas à me demander plus d'informations si nécessaires.
-Sylvain-
Avatar de l’utilisateur
-Sylvain-
Full Member
Full Member
 
Message(s) : 133
Inscription : Mar 27 Mai 2008, 12:18
Localisation : Seine et marne

Re: ADFS - SPN en double lors de la création du service

Message par ndietrich » Mar 27 Sep 2016, 20:38

Bonjour Sylvain,

Honnêtement je ne connais pas grand chose à ADFS, mais je pense que cela peut t'aider d'aller consulter https://social.technet.microsoft.com/wiki/contents/articles/1427.ad-fs-2-0-how-to-configure-the-spn-serviceprincipalname-for-the-service-account.aspx.

Je suppose que tu tentes d'utiliser un nom de fédération (Federation Service Name) correspondant à un nom de machine. Comme c'est une machine existant sur ton réseau, un SPN est déjà déclaré pour HOST/{Federation_Service_name} et mappé au compte utilisateur machine (Federation_Service_name$), alors que tu spécifies surement un compte utilisateur spécifique (celui de ton AppPool IIS). Le wizard ne peut pas ajouter le SPN HOST/{Federation_Service_name} pour ce compte spécifique puisqu'il est déjà existant pour Federation_Service_name$.

Tu peux vérifier cette théorie avec setspn -x et voir à quel compte est mappé ce SPN. Si c'est bien le cas, je suppose que la meilleure solution sera d'utiliser un autre nom de fédération, éventuellement correspondant à un alias DNS. Ne tentes pas de supprimer le SPN par défaut de ton compte machine, ça pourrait te causer beaucoup d'autres problèmes.

HTH
Nicolas Dietrich
Software Development Manager Oracle - Oracle Database Clusterware Team
Ex-Directeur R&D Secib
Ex-Microsoft (Internet Developer Escalation Engineer & Technical Account Manager Dev)
Ex-MSDN Blog: http://blogs.msdn.com/nicd/
ndietrich
Grand Master Flash
Grand Master Flash
 
Message(s) : 2586
Inscription : Mer 30 Jan 2002, 8:23

Re: ADFS - SPN en double lors de la création du service

Message par -Sylvain- » Mer 28 Sep 2016, 10:05

Je suppose que tu tentes d'utiliser un nom de fédération (Federation Service Name) correspondant à un nom de machine. Comme c'est une machine existant sur ton réseau, un SPN est déjà déclaré pour HOST/{Federation_Service_name} et mappé au compte utilisateur machine (Federation_Service_name$), alors que tu spécifies surement un compte utilisateur spécifique (celui de ton AppPool IIS). Le wizard ne peut pas ajouter le SPN HOST/{Federation_Service_name} pour ce compte spécifique puisqu'il est déjà existant pour Federation_Service_name$.


:arrow: C'est exactement ca !!

la meilleure solution sera d'utiliser un autre nom de fédération, éventuellement correspondant à un alias DNS


:arrow: J'essaye ça et reviens vers toi pour te dire su ça fonctionne

Merci
-Sylvain-
Avatar de l’utilisateur
-Sylvain-
Full Member
Full Member
 
Message(s) : 133
Inscription : Mar 27 Mai 2008, 12:18
Localisation : Seine et marne

Re: ADFS - SPN en double lors de la création du service

Message par -Sylvain- » Jeu 29 Sep 2016, 9:53

Bonjour,

Le service AD FS fonctionne, mais je ne comprends pas l'utilisé du SPN que j'ai ajouté manuellement sur MSA.
Si quelqu'un pouvait me fournir l'explication, je suis preneur....
-Sylvain-
Avatar de l’utilisateur
-Sylvain-
Full Member
Full Member
 
Message(s) : 133
Inscription : Mar 27 Mai 2008, 12:18
Localisation : Seine et marne

Re: ADFS - SPN en double lors de la création du service

Message par ndietrich » Jeu 29 Sep 2016, 21:13

Je ne sais même pas ce qu'est MSA, mais en gros voilà comment je suppose que ça marche.

Déjà, un SPN servira à 2 choses:
1) Définir avec quel hash de password encrypter le ticket Kerberos (le TGS) de l'utilisateur connecté à ton application.
2) Définir une liste de services pour limiter une délégation Kerberos (Constrained Delegation).

Reprenons. Sans connaitre les détails d'ADFS, le fonctionnement doit être à peu près le suivant:
- Un utilisateur se connecte à une application Web et s'authentifier d'une manière ou d'une autre (Basic Auth, Forms Based, Integrated, etc...)
- Le proxy Web se charge de cette authentification, et fait une demande de ticket Kerberos pour cet utilisateur (via du Protocol Transitioning)
- Le ticket Kerberos identifiant cet utilisateur pourra être envoyé à certains services internes (Constrained Delegation) qui le décrypteront et l'utiliseront pour impersonner l'utilisateur

Ca veut dire que l'utilisateur Nico va s'authentifier sur ton (reverse) proxy, qui va demander au KDC un ticket de service (TGS) identifiant l'utilisateur Nico mais pouvant être décrypté par le service auquel il sera envoyé. Comme le ticket est destiné à ta federation ADFS, le KDC va chercher si un SPN HOST/{Federation_Service_name} (ou HTTP/xxx) est enregistré sur un compte utilisateur. Il va voir que ce SPN est créé sur ton compte de service ADFS, et va utiliser le hash de son mot de passe pour encrypter ce TGS (d'où l'importance que le SPN soit attaché à un seul compte, sinon on sait pas avec quel hash encrypter). Quand ce ticket arrivera au pool d'application IIS faisant tourner ton service ADFS, il va tenter d'utiliser le hash du mot de passe du compte faisant tourner ce process pour décrypter le ticket reçu. Comme le SPN était lié au bon compte, ADFS peut décrypter et impersonner l'identité qui s'est connectée à l'application Web,. Si il y a besoin de rebondir sur un autre serveur (serveur Web hébergeant l'application interne, SMB ou autre), il verifiera si son service est autorisé à renvoyer l'identité à un autre service en vérifiant si le SPN du nouveau service est autorisé dans la liste de la Constrained Delegation. Si oui il demande un TGS pour ce service, encrypté avec le bon hash, puis lui envoie...

J'espère ne pas trop me tromper
Nicolas Dietrich
Software Development Manager Oracle - Oracle Database Clusterware Team
Ex-Directeur R&D Secib
Ex-Microsoft (Internet Developer Escalation Engineer & Technical Account Manager Dev)
Ex-MSDN Blog: http://blogs.msdn.com/nicd/
ndietrich
Grand Master Flash
Grand Master Flash
 
Message(s) : 2586
Inscription : Mer 30 Jan 2002, 8:23


Retour vers Controleur de Domaine Et Roles AD

Qui est en ligne ?

Utilisateur(s) parcourant ce forum : Aucun utilisateur inscrit et 8 invité(s)



Accueil | News | Articles | Tips | Outils | Certification | Easters Eggs
Essentiels | Glossaire | Vidos | Whitepapers | Essentiels | Bote Scripts
Conditions d'utilisation & Copyright | Respect de la vie prive