服務主要名稱

服務主體名稱 (SPN) 是服務實例的唯一識別碼。 Kerberos 驗證會使用 spn,將服務實例與服務登入帳戶建立關聯。 這可讓用戶端應用程式要求服務驗證帳戶,即使用戶端沒有帳戶名稱也一樣。

若您透過樹系在電腦上安裝多個服務執行個體,則每個執行個體都須有自己的 SPN。 若用戶端需使用多個名稱進行驗證,則指定的服務執行個體可擁有多個 SPN。 例如,SPN 一律會包含執行服務實例之主機電腦的名稱,因此服務實例可能會為其主機的每個名稱或別名註冊 SPN。 如需 SPN 格式和撰寫唯一 SPN 的詳細資訊,請參閱 唯一 spn 的名稱格式

在 Kerberos 驗證服務可以使用 SPN 來驗證服務之前,必須先在服務實例用來登入的帳戶物件上註冊 SPN。 指定的 SPN 只能在一個帳戶上註冊。 針對 Win32 服務,服務安裝程式會在安裝服務的實例時,指定登入帳戶。 然後,安裝程式會撰寫 Spn,並在 Active Directory Domain Services 中將其寫入為 account 物件的屬性。 如果服務實例的登入帳戶變更,必須在新帳戶下重新註冊 Spn。 如需詳細資訊,請參閱 服務如何註冊其 spn

當用戶端想要連接到服務時,它會尋找服務的執行個體、撰寫該執行個體的 SPN、連接到服務,然後呈現服務的 SPN 以進行驗證。 如需詳細資訊,請參閱 用戶端如何撰寫服務的 SPN

本章節內容

本節內容

唯一 Spn 的名稱格式

服務如何撰寫其 Spn

服務如何註冊其 Spn

用戶端如何撰寫服務的 SPN

什麼是 SPN,為什麼您應該在意?

使用 Kerberos 進行相互驗證