12.1. SPN (Service Principal Name)

La première modification de votre configuration Active Directory® est l’ajout d’un nom principal de service (SPN) à l’objet ordinateur de l’ordinateur sur lequel le service IDERI note est installé. L’utilisation de Kerberos comme protocole d’authentification de choix ne peut être obtenue qu’en ajoutant un SPN. Notez que Kerberos doit toujours être préféré à NTLM, car NTLM n’autorise que l’authentification des clients sur les serveurs, mais pas l’authentification mutuelle des clients et des serveurs comme Kerberos. L’ajout du SPN à votre environnement AD se manifeste comme un ajout à l’attribut servicePrincipalName de l’objet ordinateur, comme dans la figure 12.1, qui montre le SPN comme dans notre environnement de tutoriel de la section 4.

Figure 12.1: Ajouts SPN à l’objet ordinateur dans AD

L’attribut ServicePrincipalName obtiendra deux nouvelles chaînes, à savoir INoteSvcSpn/<computername> avec <computername> étant le nom NetBios et le nom DNS de l’ordinateur. Les deux SPN seront supprimés si vous décidez de désinstaller le service IDERI note à partir de cet ordinateur.

Si vous imposez l’utilisation de Kerberos sur les clients à l’aide de la valeur de registre “KerberosOnly” (voir la section 10.1) et que les clients refusent de se connecter à leur serveur, vous devez vérifier que ce SPN existe. Dans le cas où il n’existe pas, vous pouvez le recréer en utilisant le paramètre de ligne de commande inotesvc.exe -regspn (voir la section 9.2).