Format Nama untuk SPN Unik
SPN harus unik di forest tempat spn terdaftar. Jika tidak unik, autentikasi akan gagal. Sintaks SPN memiliki empat elemen: dua elemen yang diperlukan dan dua elemen tambahan yang dapat Anda gunakan, jika perlu, untuk menghasilkan nama unik seperti yang tercantum dalam tabel berikut.
<service class>/<host>:<port>/<service name>
| Elemen | Deskripsi |
|---|---|
| "<kelas> layanan" | String yang mengidentifikasi kelas layanan umum; misalnya, "SqlServer". Ada nama kelas layanan terkenal, seperti "www" untuk layanan web atau "ldap" untuk layanan direktori. Secara umum, ini bisa menjadi string apa pun yang unik untuk kelas layanan. Ketahuilah bahwa sintaks SPN menggunakan garis miring (/) untuk memisahkan elemen, sehingga karakter ini tidak dapat muncul dalam nama kelas layanan. |
| "<host>" | Nama komputer tempat layanan dijalankan. Ini bisa menjadi nama DNS yang sepenuhnya memenuhi syarat atau nama NetBIOS. Ketahuilah bahwa nama NetBIOS tidak dijamin unik di forest, sehingga SPN yang berisi nama NetBIOS mungkin tidak unik. |
| "<port>" | Nomor port opsional untuk membedakan antara beberapa instans kelas layanan yang sama pada satu komputer host. Hilangkan komponen ini jika layanan menggunakan port default untuk kelas layanannya. |
| "<nama> layanan" | Nama opsional yang digunakan dalam SPN layanan yang dapat direplikasi untuk mengidentifikasi data atau layanan yang disediakan oleh layanan atau domain yang dilayani oleh layanan. Komponen ini dapat memiliki salah satu format berikut:
|
Komponen yang ada dalam SPN layanan bergantung pada bagaimana layanan diidentifikasi dan direplikasi. Ada dua skenario dasar: layanan berbasis host dan layanan yang dapat direplikasi.
Layanan berbasis host
Untuk layanan berbasis host, komponen "<nama> layanan" dihilangkan karena layanan diidentifikasi secara unik oleh kelas layanan dan nama komputer host tempat layanan diinstal.
<service class>/<host>
Kelas layanan saja cukup untuk mengidentifikasi untuk klien fitur yang disediakan layanan. Anda dapat menginstal instans kelas layanan di banyak komputer dan setiap instans menyediakan layanan yang diidentifikasi dengan komputer host-nya. FTP dan Telnet adalah contoh layanan berbasis host. SPN instans layanan berbasis host dapat menyertakan nomor port jika layanan menggunakan port non-default atau ada beberapa instans layanan pada host.
<service class>/<host>:<port>
Layanan yang dapat direplikasi
Untuk layanan yang dapat direplikasi, mungkin ada satu atau banyak instans layanan (replika), dan klien tidak membedakan replika mana yang mereka sambungkan karena masing-masing menyediakan layanan yang sama. SPN untuk setiap replika memiliki komponen "<kelas> layanan" dan "<nama> layanan" yang sama, di mana "<nama> layanan" mengidentifikasi lebih khusus fitur yang disediakan oleh layanan. Hanya komponen "<host>" dan "<port>" opsional yang akan bervariasi dari SPN ke SPN.
<service class>/<host>:<port>/<service name>
Contoh layanan yang dapat direplikasi adalah instans layanan database yang menyediakan akses ke database tertentu. Dalam hal ini, "<kelas> layanan" mengidentifikasi aplikasi database dan "<nama> layanan" mengidentifikasi database tertentu. "<nama> layanan" bisa menjadi nama khusus dari titik koneksi layanan (SCP) yang berisi data koneksi untuk database.
MyDBService/host1.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3.example.com/CN=hrdb,OU=mktg,DC=example,DC=com
Jika klien akan menggunakan nama NetBIOS untuk menyusun SPN layanan, setiap replika juga harus mendaftarkan SPN yang berisi nama NetBIOS.
MyDBService/host1/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host2/CN=hrdb,OU=mktg,DC=example,DC=com
MyDBService/host3/CN=hrdb,OU=mktg,DC=example,DC=com
Contoh lain dari layanan yang dapat direplikasi adalah salah satu yang menyediakan layanan ke seluruh domain. Dalam hal ini, komponen "<nama> layanan" adalah nama DNS domain yang sedang dilayani. Kerberos KDC adalah contoh jenis layanan yang dapat direplikasi ini.
Ketahuilah bahwa jika nama DNS komputer berubah, sistem memperbarui elemen "<host>" untuk semua SPN terdaftar untuk host tersebut di forest.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk