Аутентификация Kerberos (объяснение)
Kerberos ― протокол сетевой аутентификации на базе билетов. Протокол предназначен для аутентификации клиент/сервер или сервер/сервер.
Kerberos можно использовать как альтернативу более раннему протоколу аутентификации Microsoft NT LAN (NTLM).
Kerberos требует взаимной аутентификации, когда клиент аутентифицируется в службе, а служба аутентифицируется в клиенте. Таким образом, обеспечивается более безопасная аутентификация клиентов XProtect на серверах XProtect без раскрытия пароля.
Для активации взаимной аутентификации в системе VMS XProtect необходимо зарегистрировать имена участников-служб (Service Principal Names, SPN) в Active Directory. SPN ― это псевдоним, который обеспечивает уникальную идентификацию объекта, например службы сервера XProtect. Каждая служба, использующая взаимную аутентификацию, должна иметь зарегистрированное SPN-имя, чтобы клиенты могли идентифицировать службу в сети. Взаимная аутентификация без корректно зарегистрированных SPN недоступна.
В таблице ниже перечислены различные службы Milestone с соответствующими номерами портов, которые необходимо зарегистрировать:
Служба | Номер порта |
|---|---|
| Management Server ― IIS | 80 ― настраивается |
| Management Server ― внутренний | 8080 |
| Recording Server ― служба сбора данных Data Collector | 7609 |
| Failover Server | 8990 |
| Event Server | 22331 |
| LPR Server | 22334 |
Количество служб, которые необходимо зарегистрировать в Active Directory, зависит от текущей установки. Data Collector устанавливается автоматически при установке службы Management Server, Recording Server, Event Server или Failover Server.
Для пользователя, запускающего службу, необходимо зарегистрировать два SPN: одно с именем хоста и одно с полным доменным именем.
Если вы запускаете службу под учетной записью пользователя сетевой службы, зарегистрируйте два SPN для каждого компьютера, на котором запущена эта служба.
Схема определения имен SPN для Milestone:
VideoOS/[DNS Host Name]:[Port]
VideoOS/[Fully qualified domain name]:[Port]
Ниже приведен пример SPN для службы Recording Server, запущенной на компьютере со следующими параметрами:
Hostname: Record-Server1
Domain: Surveillance.com
Регистрируемые SPN:
VideoOS/Record-Server1:7609
VideoOS/Record-Server1.Surveillance.com:7609