Compartilhar via


Nomes de entidades de serviço

Um SPN (nome da entidade de serviço) é um identificador exclusivo de uma instância de serviço. A autenticação Kerberos usa SPNs para associar uma instância de serviço a uma conta de entrada de serviço. Isso permite que um aplicativo cliente solicite autenticação de serviço para uma conta, mesmo que o cliente não tenha o nome da conta.

Se você instalar várias instâncias de um serviço em computadores em toda uma floresta, cada instância deverá ter seu próprio SPN. Se houver vários nomes que os clientes podem usar para autenticação, uma instância de serviço pode ter vários SPNs. Por exemplo, como um SPN sempre inclui o nome do computador host no qual a instância de serviço está sendo executada, uma instância de serviço pode registrar vários SPNs, um para cada nome ou alias de seu host. Para obter mais informações sobre o formato SPN e compor um SPN exclusivo, consulte Formatos de nome para SPNs exclusivos.

Antes que o serviço de autenticação Kerberos possa usar um SPN para autenticar um serviço, o SPN deve ser registrado no objeto de conta que a instância de serviço usa para entrar. Um determinado SPN pode ser registrado em apenas uma conta. Para serviços Win32, um instalador de serviço especifica a conta de entrada quando uma instância do serviço é instalada. Em seguida, o instalador compõe os SPNs e os grava como uma propriedade do objeto de conta nos Serviços de Domínio Active Directory. Se a conta de entrada de uma instância de serviço for alterada, os SPNs deverão ser registrados novamente na nova conta. Para obter mais informações, consulte Como um serviço registra seus SPNs.

Quando um cliente deseja se conectar a um serviço, ele localiza uma instância do serviço, compõe um SPN para essa instância, conecta-se ao serviço e apresenta o SPN para autenticação do serviço. Para obter mais informações, consulte Como os clientes compõem o SPN de um serviço.

Nesta seção

Esta seção inclui os seguintes artigos:

Confira também