Что такое имя участника-службы?
Имя участника-службы представляет собой точку входа службы на ваш SQL-сервер, которую клиенты могут найти (с помощью DNS), когда они будут использовать проверку подлинности Kerberos.
SPN записываются как служба, за которой следует полное DNS-имя IP-хоста, на котором работает служба (и иногда, необязательно, с добавлением имени области Kerberos в конце). Например, если бы ваш SQL-сервер был назван «sqlserver1», а ваше доменное имя AD было «acme.com», это было бы записано как: MSSQLsvc / sqlserver1.acme.com.
Само имя участника-службы находится в базе данных Kerberos, и клиенты во время процесса проверки подлинности обращаются к DNS, чтобы найти целевой IP-узел и базу данных Kerberos (KDC), содержащую принципала службы, получить билет службы Kerberos из KDC и использовать его для единый вход для аутентификации на сервере, работающем в целевой службе, названной в SPN.
Настройка SPN
В AD в свойствах объекта-компьютера, представляющего ваш SQL-сервер, вы добавите имя участника-службы и при необходимости настройте делегирование Kerberos для этой службы. При желании вместо этого вы можете добавить SPN к учетной записи пользователя, запускающей службу SQL в AD.
В вашем сценарии Kerberos фактически должен быть основным методом проверки подлинности, а NTLM используется только в качестве запасного варианта. Если вы правильно настроили DNS, AD, делегирование Kerberos и целевой сервер, вам никогда не придется возвращаться к NTLM. В SharePoint вы можете использовать Kerberos для единого входа в SharePoint, а затем вы можете дополнительно разрешить делегирование Kerberos для той же учетной записи пользователя, чтобы иметь возможность запускать операторы SQL, владеющие сервером базы данных SQL как они сами.
Все это не для слабонервных, и я на самом деле не настраивал этот точный сценарий сам, я просто знаю основные концепции; вместо этого мой опыт в основном заключается в настройке единого входа Kerberos для аутентификации Active Directory для веб-приложений, работающих на платформах Linux. Но вы спросили, для чего было SPN, и я ответил именно на это.
Дальнейшее чтение
Я погуглил и нашел для вас эту ссылку для реальной настройки вашего сценария, в ней рассказывается о настройке SharePoint с Active Directory с SQL-сервером с использованием делегирования Kerberos: Планирование аутентификации Kerberos в SharePoint 2013
person
T-Heron
schedule
07.11.2016