服务主体名称
服务主体名称 (SPN) 是服务实例的唯一标识符。 Kerberos 身份验证使用 SPN 将服务实例与服务登录帐户相关联。 这样,即使客户端没有帐户名,客户端应用程序也能请求对帐户进行服务验证。
如果在计算机的整个目录林上安装多个服务实例,那么每个实例都必须有自己的 SPN。 如果客户可以使用多个名称进行身份验证,则一个服务实例可以有多个 SPN。 例如,由于 SPN 始终包含运行服务实例的主机计算机的名称,因此服务实例可能会注册多个 SPN,每个名称或主机别名都会注册一个。 有关 SPN 格式和组成唯一 SPN 的更多信息,请参阅唯一 SPN 的名称格式。
在 Kerberos 身份验证服务使用 SPN 对服务进行身份验证之前,必须在服务实例用来登录的帐户对象上注册 SPN。 给定的 SPN 只能在一个帐户上注册。 对于 Win32 服务,服务安装程序会在安装服务实例时指定登录帐户。 然后,安装程序会编写 SPN,并将其写入 Active Directory 域服务中帐户对象的属性中。 如果服务实例的登录帐户发生变化,则必须在新帐户下重新注册 SPN。 有关详细信息,请参阅服务如何注册其 SPN。
当客户端想要连接到某个服务时,它将查找该服务的实例,并为该实例编写 SPN,然后连接到该服务并显示该服务的 SPN 以进行身份验证。 有关详细信息,请参阅客户端如何编写服务的 SPN。
本节内容
本部分包括以下文章: