В. Для чего используется сопоставление имени участника службы (Service Principal Name -- SPN)?

О. Это способ сопоставить учетную запись Windows, ответственную за запуск экземпляра службы, с сервером и службой. Такое сопоставление необходимо, так как многие клиенты формируют SPN из имени узла и порта, к которому подключается клиент. Для взаимной проверки подлинности Kerberos уровень безопасности Windows должен определить учетную запись, которую использует служба. Благодаря сопоставлению SPN, определенному в Active Directory (AD), учетная запись Windows, ответственная за службу, может быть удостоверена и использована для проверки подлинности Kerberos. По этой причине многие службы регистрируют имена SPN; например, Microsoft SQL Server регистрирует SPN, если используется протокол TCP/IP с проверкой подлинности Kerberos, что позволяет отказаться от NTLM.

Поделитесь материалом с коллегами и друзьями