Kerberos Authentifizierung (Erklärung)
Kerberos ist ein auf Tickets basierendes Netzwerkauthentifizierungsprotokoll. Es wurde als eine starke Authentifizierung für Client/Server oder Server/Server Anwendungen entwickelt.
Nutzen Sie die Kerberos-Authentifizierung als Alternative zum älteren Microsoft NT LAN-Authentifizierungsprotokoll (NTLM).
Eine Kerberos-Authentifizierung erfordert eine gegenseitige Authentifizierung, bei der der Client den Dienst und der Dienst wiederum den Client authentifiziert. Auf diese Weise können Sie eine sicherere Authentifizierung von XProtect-Clients zu XProtect-Servern sicherstellen, ohne Ihr Passwort preiszugeben.
Sie müssen die Service Principal Names (SPN) im Active Directory registrieren, um eine gegenseitige Authentifizierung in Ihrem XProtect VMS zu ermöglichen. Ein SPN ist ein Pseudonym, das auf eine Entität, wie einen XProtect-Serverdienst eindeutig identifiziert. Jeder Dienst, der gegenseitige Authentifizierung verwendet, muss einen registrierten SPN besitzen, damit Clients den Dienst im Netzwerk identifizieren können. Eine gegenseitige Authentifizierung ist ohne ordnungsgemäße registrierte SPN nicht möglich.
Die nachfolgende Tabelle listet die verschiedenen Milestone-Dienste mit den korrespondierenden Portnummern auf, die für eine Registrierung benötigt werden:
Dienst | Portnummer |
|---|---|
| Management Server – IIS | 80 - Konfigurierbar |
| Management Server – Intern | 8080 |
| Recording Server – Data Collector | 7609 |
| Failover Server | 8990 |
| Event Server | 22331 |
| LPR Server | 22334 |
Die Anzahl der Dienste, die Sie im Active Directory ihrer gegenwärtigen Installation registrieren müssen. Data Collector wird bei der Installation des Management Server, Recording Server, Event Server oder Failover Server Dienstes automatisch installiert.
Sie müssen für den Benutzer, der den Dienst ausführt, zwei SPNs registrieren: einen mit dem Hostnamen und einen mit dem voll qualifizierten Domainnamen.
Wenn Sie den Dienst unter einem Netzwerkdienstkonto ausführen, müssen Sie die zwei SPN für jeden Computer registrieren, die den Dienst ausführen.
Dies ist das Milestone SPN-Benennungsschema:
VideoOS/[DNS Host Name]:[Port]
VideoOS/[Fully qualified domain name]:[Port]
Hier ein Beispiel für SPNs für den Recording Server-Dienst, der auf einem Computer mit den folgenden Spezifikationen ausgeführt wird:
Hostname: Record-Server1
Domain: Surveillance.com
Zu registrierende SPNs:
VideoOS/Record-Server1:7609
VideoOS/Record-Server1.Surveillance.com:7609