Benzersiz SPN'ler için Ad Biçimleri
SPN, kaydedildiği ormanda benzersiz olmalıdır. Benzersiz değilse, kimlik doğrulaması başarısız olur. SPN söz diziminde dört öğe vardır: iki gerekli öğe ve gerekirse, aşağıdaki tabloda listelenen benzersiz bir ad oluşturmak için kullanabileceğiniz iki ek öğe.
<service class>/<host>:<port>/<service name>
| Öğe | Açıklama |
|---|---|
| "<hizmet sınıfı>" | Genel hizmet sınıfını tanımlayan bir dize; örneğin, "SqlServer". Bir web hizmeti için "www" veya dizin hizmeti için "ldap" gibi iyi bilinen hizmet sınıfı adları vardır. Genel olarak bu, hizmet sınıfına özgü herhangi bir dize olabilir. SPN söz diziminin öğeleri ayırmak için eğik çizgi (/) kullandığını, bu nedenle bu karakterin hizmet sınıfı adında görünemeyeceğini unutmayın. |
| "<ana bilgisayar>" | Hizmetin çalıştığı bilgisayarın adı. Bu, tam bir DNS adı veya NetBIOS adı olabilir. NetBIOS adlarının bir ormanda benzersiz olması garanti edilmediğinden NetBIOS adı içeren bir SPN'nin benzersiz olmayabileceğini unutmayın. |
| "<bağlantı noktası>" | Tek bir konak bilgisayarda aynı hizmet sınıfının birden çok örneğini ayırt etmek için isteğe bağlı bir bağlantı noktası numarası. Hizmet, hizmet sınıfı için varsayılan bağlantı noktasını kullanıyorsa bu bileşeni atlar. |
| "<hizmet adı>" | Hizmet veya hizmet tarafından sunulan etki alanı tarafından sağlanan verileri veya hizmetleri tanımlamak için çoğaltılabilir bir hizmetin SPN'lerinde kullanılan isteğe bağlı bir ad. Bu bileşen aşağıdaki biçimlerden birine sahip olabilir:
|
Hizmetin SPN'lerinde bulunan bileşenler, hizmetin nasıl tanımlanıp çoğaltıldığına bağlıdır. İki temel senaryo vardır: konak tabanlı hizmetler ve çoğaltılabilir hizmetler.
Konak tabanlı hizmetler
Ana bilgisayar tabanlı bir hizmet için, "<hizmet adı>" bileşeni atlanır çünkü hizmet, hizmet sınıfı ve hizmetin yüklendiği konak bilgisayarın adı tarafından benzersiz olarak tanımlanır.
<service class>/<host>
Yalnızca hizmet sınıfı, istemciler için hizmetin sağladığı özellikleri tanımlamak için yeterlidir. Hizmet sınıfının örneklerini birçok bilgisayara yükleyebilirsiniz ve her örnek kendi ana bilgisayarıyla tanımlanan hizmetler sağlar. FTP ve Telnet, konak tabanlı hizmetlere örnektir. Konak tabanlı hizmet örneğinin SPN'leri, hizmet varsayılan olmayan bir bağlantı noktası kullanıyorsa veya konakta hizmetin birden çok örneği varsa bağlantı noktası numarasını içerebilir.
<service class>/<host>:<port>
Çoğaltılabilir hizmetler
Çoğaltılabilir bir hizmet için hizmetin bir veya birden çok örneği (çoğaltmalar) olabilir ve her biri aynı hizmeti sağladığından istemciler hangi çoğaltmaya bağlandıklarını ayırt etmemektedir. Her çoğaltmanın SPN'leri aynı "<hizmet sınıfı>" ve " "<hizmet adı>" bileşenlerine sahiptir; burada "<hizmet adı>", hizmet tarafından sağlanan özellikleri daha özel olarak tanımlar. Yalnızca "<ana bilgisayar>" ve isteğe bağlı "<bağlantı noktası>" bileşenleri SPN'den SPN'ye farklılık gösterebilir.
<service class>/<host>:<port>/<service name>
Çoğaltılabilir bir hizmete örnek olarak, belirtilen veritabanına erişim sağlayan bir veritabanı hizmeti örneği yer alır. Bu durumda, "<hizmet sınıfı>" veritabanı uygulamasını tanımlar ve "<hizmet adı>" belirli veritabanını tanımlar. "<hizmet adı>", veritabanı için bağlantı verilerini içeren bir hizmet bağlantı noktasının (SCP) ayırt edici adı olabilir.
MyDBService/host1.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
İstemciler bir hizmetin SPN'sini oluşturmak için NetBIOS adını kullanacaksa, her çoğaltmanın NetBIOS adını içeren bir SPN de kaydetmesi gerekir.
MyDBService/host1/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3/CN=hrdb,OU=mktg,DC=example,DC=com
Çoğaltılabilir hizmetin bir diğer örneği de tüm etki alanına hizmet sağlayan hizmettir. Bu durumda, "<hizmet adı>" bileşeni, sunulan etki alanının DNS adıdır. Kerberos KDC, bu tür çoğaltılabilir hizmetlere örnektir.
Bir bilgisayarın DNS adı değişirse, sistemin ormandaki tüm kayıtlı SPN'ler için "<konak>" öğesini güncelleştirdiğini unutmayın.