Formaty nazw unikatowych nazw SPN
Nazwa SPN musi być unikatowa w lesie, w którym jest zarejestrowana. Jeśli nie jest on unikatowy, uwierzytelnianie zakończy się niepowodzeniem. Składnia nazwy SPN ma cztery elementy: dwa wymagane elementy i dwa dodatkowe elementy, których można użyć, w razie potrzeby, aby utworzyć unikatową nazwę wymienioną w poniższej tabeli.
<service class>/<host>:<port>/<service name>
| Pierwiastek | Opis |
|---|---|
| "<klasy usługi>" | Ciąg identyfikujący ogólną klasę usługi; na przykład "SqlServer". Istnieją dobrze znane nazwy klas usług, takie jak "www" dla usługi internetowej lub "ldap" dla usługi katalogowej. Ogólnie rzecz biorąc, może to być dowolny ciąg, który jest unikatowy dla klasy usługi. Należy pamiętać, że składnia spN używa ukośnika (/) do oddzielania elementów, więc ten znak nie może pojawić się w nazwie klasy usługi. |
| "<host>" | Nazwa komputera, na którym jest uruchomiona usługa. Może to być w pełni kwalifikowana nazwa DNS lub nazwa NetBIOS. Należy pamiętać, że nazwy NetBIOS nie są unikatowe w lesie, więc nazwa SPN zawierająca nazwę NetBIOS może nie być unikatowa. |
| "<port>" | Opcjonalny numer portu służący do rozróżniania wielu wystąpień tej samej klasy usługi na jednym komputerze hosta. Pomiń ten składnik, jeśli usługa używa domyślnego portu dla klasy usługi. |
| "<nazwa usługi>" | Opcjonalna nazwa używana w nazwach SPN usługi replikowanej do identyfikowania danych lub usług udostępnianych przez usługę lub domenę obsługiwaną przez usługę. Ten składnik może mieć jeden z następujących formatów:
|
Składniki obecne w nazwach SPN usługi zależą od sposobu identyfikowania i replikowania usługi. Istnieją dwa podstawowe scenariusze: usługi oparte na hoście i usługi replikowane.
Usługi oparte na hoście
W przypadku usługi opartej na hoście składnik "<nazwa usługi>" jest pomijany, ponieważ usługa jest jednoznacznie identyfikowana przez klasę usługi i nazwę komputera hosta, na którym zainstalowano usługę.
<service class>/<host>
Sama klasa usługi jest wystarczająca do zidentyfikowania dla klientów funkcji oferowanych przez usługę. Wystąpienia klasy usługi można zainstalować na wielu komputerach, a każde wystąpienie udostępnia usługi, które są identyfikowane z komputerem hosta. Ftp i Telnet to przykłady usług opartych na hoście. Nazwy SPN wystąpienia usługi opartej na hoście mogą zawierać numer portu, jeśli usługa używa portu innego niż domyślny lub istnieje wiele wystąpień usługi na hoście.
<service class>/<host>:<port>
Usługi repliki
W przypadku usługi replikowania może istnieć jedno lub wiele wystąpień usługi (replik), a klienci nie rozróżniają, z którą repliką łączą się, ponieważ każda z nich zapewnia tę samą usługę. Nazwy SPN dla każdej repliki mają takie same nazwy SPN "<klasy usługi>" i "<nazwa usługi>" składników, gdzie "<nazwa usługi>" identyfikuje bardziej szczegółowo funkcje udostępniane przez usługę. Tylko składniki "<hosta>" i opcjonalne "<port>" różnią się w zależności od nazwy SPN do nazwy SPN.
<service class>/<host>:<port>/<service name>
Przykładem usługi replikowej jest wystąpienie usługi bazy danych, które zapewnia dostęp do określonej bazy danych. W tym przypadku "<klasa usługi>" identyfikuje aplikację bazy danych i "<nazwę usługi>" identyfikuje określoną bazę danych. "<nazwa usługi>" może być nazwą wyróżniającą punktu połączenia usługi (SCP) zawierającego dane połączenia dla bazy danych.
MyDBService/host1.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
Jeśli klienci będą używać nazwy NetBIOS do tworzenia nazwy SPN usługi, każda replika musi również zarejestrować nazwę SPN zawierającą nazwę NetBIOS.
MyDBService/host1/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3/CN=hrdb,OU=mktg,DC=example,DC=com
Innym przykładem usługi replikowania jest usługa, która zapewnia usługi całej domenie. W tym przypadku " nazwa usługi<>" jest nazwą DNS obsługiwanej domeny. Centrum dystrybucji kluczy Kerberos jest przykładem tego typu usługi replikowania.
Należy pamiętać, że jeśli nazwa DNS komputera ulegnie zmianie, system aktualizuje element "<hosta>" dla wszystkich zarejestrowanych nazw SPN dla tego hosta w lesie.