Autenticación Kerberos (explicación)
Kerberos es un protocolo de autenticación de red basado en tickets. Está diseñado para proporcionar una autenticación fuerte para aplicaciones cliente/servidor o servidor/servidor.
Use la autenticación Kerberos como alternativa al antiguo protocolo de autenticación Microsoft NT LAN (NTLM).
La autenticación Kerberos requiere una autenticación mutua, en la que el cliente se autentifica ante el servicio y el servicio se autentifica ante el cliente. De esta manera se puede autentificar de forma más segura desde clientes de XProtect a los servidores de XProtect sin exponer la contraseña.
Para hacer posible la autenticación mutua en su VMS XProtect, debe registrar Service Principal Names (SPN) en Active Directory. Un SPN es un alias que identifica de forma única a una entidad como un servicio de servidor XProtect. Cada servicio que utilice la autenticación mutua debe tener un SPN registrado para que los clientes puedan identificar el servicio en la red. Sin un SPN correctamente registrado, la autenticación mutua no es posible.
La siguiente tabla enumera los diferentes servicios de Milestone con sus correspondientes números de puerto que debe registrar:
Servicio | Número de puerto |
|---|---|
| Management Server - IIS | 80 - Configurable |
| Management Server - Interno | 8080 |
| Recording Server - Data Collector | 7609 |
| Failover Server | 8990 |
| Event Server | 22331 |
| LPR Server | 22334 |
El número de servicios que debe registrar en el directorio activo depende de su instalación actual. Data Collector se instala automáticamente cuando se instala el Management Server, Recording Server, Event Server o servicio Failover Server.
Debe registrar dos SPN para el usuario que ejecuta el servicio: uno con el nombre del host y otro con el nombre de dominio completo.
Si ejecuta el servicio bajo una cuenta de servicio de usuario de red, debe registrar los dos SPN para cada equipo que ejecute este servicio.
Este es el esquema de denominación SPN de Milestone:
VideoOS/[DNS Host Name]:[Port]
VideoOS/[Fully qualified domain name]:[Port]
El siguiente es un ejemplo de SPN para el servicio Recording Server que se ejecuta en un ordenador con los siguientes detalles:
Hostname: Record-Server1
Domain: Surveillance.com
SPN para registrar:
VideoOS/Record-Server1:7609
VideoOS/Record-Server1.Surveillance.com:7609