Formats de nom pour les SPN uniques
Un SPN doit être unique dans la forêt dans laquelle il est inscrit. S’il n’est pas unique, l’authentification échoue. La syntaxe SPN comporte quatre éléments : deux éléments obligatoires et deux éléments supplémentaires que vous pouvez utiliser, le cas échéant, pour produire un nom unique, comme indiqué dans le tableau suivant.
<service class>/<host>:<port>/<service name>
| Élément | Description |
|---|---|
| «<classe de service>» | Chaîne qui identifie la classe générale de service ; par exemple, « SqlServer ». Il existe des noms de classes de service connus, tels que « www » pour un service web ou « ldap » pour un service d’annuaire. En général, il peut s’agir de n’importe quelle chaîne unique à la classe de service. N’oubliez pas que la syntaxe SPN utilise une barre oblique (/) pour séparer les éléments, de sorte que ce caractère ne peut pas apparaître dans un nom de classe de service. |
| «<hôte>» | Nom de l’ordinateur sur lequel le service est en cours d’exécution. Il peut s’agir d’un nom DNS complet ou d’un nom NetBIOS. N’oubliez pas que les noms NetBIOS ne sont pas garantis comme étant uniques dans une forêt, un SPN qui contient un nom NetBIOS peut ne pas être unique. |
| «<port>» | Numéro de port facultatif pour différencier plusieurs instances de la même classe de service sur un seul ordinateur hôte. Omettez ce composant si le service utilise le port par défaut pour sa classe de service. |
| «<nom du service>» | Nom facultatif utilisé dans les SPN d’un service réplicable pour identifier les données ou services fournis par le service ou le domaine servi par le service. Ce composant peut avoir l’un des formats suivants :
|
Les composants présents dans les SPN d’un service dépendent de la façon dont le service est identifié et répliqué. Il existe deux scénarios de base : les services basés sur l’hôte et les services réplicables.
Services basés sur l’hôte
Pour un service basé sur l’hôte, le composant «<nom de service>» est omis, car le service est identifié de manière unique par la classe de service et le nom de l’ordinateur hôte sur lequel le service est installé.
<service class>/<host>
La classe de service seule est suffisante pour identifier les clients les fonctionnalités fournies par le service. Vous pouvez installer des instances de la classe de service sur de nombreux ordinateurs et chaque instance fournit des services identifiés avec son ordinateur hôte. FTP et Telnet sont des exemples de services basés sur l’hôte. Les spN d’une instance de service basée sur l’hôte peuvent inclure le numéro de port si le service utilise un port non par défaut ou qu’il existe plusieurs instances du service sur l’hôte.
<service class>/<host>:<port>
Services réplicables
Pour un service réplicable, il peut y avoir une ou plusieurs instances du service (réplicas) et les clients ne différencient pas le réplica auquel ils se connectent, car chacun fournit le même service. Les spN de chaque réplica ont les mêmes composants «<classe de service>» et «<nom de service>», où «<nom de service>» identifie plus spécifiquement les fonctionnalités fournies par le service. Seuls les composants «<hôte>» et facultatifs «<port>» varient de SPN à SPN.
<service class>/<host>:<port>/<service name>
Un exemple de service réplicable serait une instance d’un service de base de données qui fournit l’accès à une base de données spécifiée. Dans ce cas, «<classe de service>» identifie l’application de base de données et «<nom de service>» identifie la base de données spécifique. «<nom de service>» peut être le nom unique d’un point de connexion de service (SCP) contenant des données de connexion pour la base de données.
MyDBService/host1.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
Si les clients utilisent le nom NetBIOS pour composer le SPN d’un service, chaque réplica doit également inscrire un SPN contenant le nom NetBIOS.
MyDBService/host1/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3/CN=hrdb,OU=mktg,DC=example,DC=com
Un autre exemple de service réplicable est celui qui fournit des services à un domaine entier. Dans ce cas, le composant «<nom de service>» est le nom DNS du domaine en cours de service. Un KDC Kerberos est un exemple de ce type de service réplicable.
N’oubliez pas que si le nom DNS d’un ordinateur change, le système met à jour l’élément «<hôte>» pour tous les SPN inscrits pour cet hôte dans la forêt.