我想知道是否可以将非 root url 的 SPN 设置为如下形式:
setspn -U -A http/www.example.com/someApp/path/ someServiceUser
这样,在不同 IIS 应用程序池中运行的不同应用程序可以具有不同的 SPN
我尝试了该命令,但它告诉我名称引用无效(我可以理解,因为 / 是 SPN 中的特殊字符)。
答案1
可能不会。据我所知,Kerberos 服务主体始终采用以下形式service/hostname
(恰好两个组件),并且主机名始终与客户端想要访问的主机名相匹配(而不是服务器声称的主机名)。SPN 可能HTTP/*
包含端口,但永远不会包含 HTTP 路径。