Имена субъектов-служб
Имя субъекта-службы (SPN) — это уникальный идентификатор экземпляра службы. Проверка подлинности Kerberos использует имена субъектов-служб для связывания экземпляра службы с учетной записью входа службы. Это позволяет клиентскому приложению запрашивать проверку подлинности службы для учетной записи, даже если у клиента нет имени учетной записи.
Если на компьютерах в лесу установлено несколько экземпляров службы, то каждый экземпляр должен иметь свое имя участника-службы. Если существует несколько имен, которые клиенты могут использовать для проверки подлинности, экземпляр службы может иметь несколько имен субъектов-служб. Например, поскольку имя субъекта-службы всегда содержит имя хост-компьютера, на котором выполняется экземпляр службы, экземпляр службы может зарегистрировать несколько spN, по одному для каждого имени или псевдонима узла. Дополнительные сведения о формате имени субъекта-службы и создании уникального имени субъекта-службы см. в разделе "Форматы имен" для уникальных имен субъектов-служб.
Прежде чем служба проверки подлинности Kerberos может использовать имя субъекта-службы для проверки подлинности службы, имя субъекта-службы должно быть зарегистрировано в объекте учетной записи, используемом экземпляром службы для входа. Указанная имя субъекта-службы может быть зарегистрирована только в одной учетной записи. Для служб Win32 установщик службы указывает учетную запись входа при установке экземпляра службы. Затем установщик создает имена субъектов-служб и записывает их в качестве свойства объекта учетной записи в службах домен Active Directory. Если учетная запись входа экземпляра службы изменяется, имена субъектов-служб должны быть повторно зарегистрированы в новой учетной записи. Дополнительные сведения см. в разделе "Как служба регистрирует свои поставщики услуг".
Когда клиент хочет подключиться к службе, он определяет местонахождение экземпляра службы, составляет для него основное имя, подключается к службе и представляет ей это имя для проверки подлинности. Дополнительные сведения см. в разделе "Создание имени участника-службы" для клиентов.
В этом разделе
В этом разделе рассматриваются следующие темы:
- Форматы имен для уникальных субъектов-служб
- Как служба создает свои имена субъектов-служб
- Как служба регистрирует свои субъект-службы
- Создание имени участника-службы службы клиентами
См. также
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по