帳戶選項及 SPN 的範例

本主題提供如何使用 setspn 公用程式在 Active Directory 中指派「服務主體名稱 (SPN)」的範例。

指派 SPN 的最佳方式是使用具名 Windows 帳戶,不過在某些情況下,並不嚴格要求使用具名 Windows 帳戶。下列範例說明 setspn 指令的用法,並討論帳戶用法的相關選項。

多部 Domino® 伺服器透過 IP Sprayer 服務的網站

如果您的 SSO 環境是具有能在多部 Domino® 伺服器之間配送連線要求的 IP Sprayer 網站,您必須在某個具名 Active Directory 帳戶中定義 SPN。所有 Domino® 伺服器都會登入該相同帳戶作為 Windows 服務,而非登入個別的「本端系統」帳戶。例如,假設已配置「網站」文件如下:

  • 「對映至此網站的主機名稱或位址」= ipsprayer.renovations.com、domino1.ad.renovations.com、domino2.ad.renovations.com。
  • 「管理此網站的 Domino 伺服器」= Domino1/Renovations、Domino2/Renovations

您會對具名帳戶(在本例中,為 ssorenovations)執行三次 setspn,以對該帳戶定義三個 SPN:

setspn -a HTTP/ipsprayer.renovations.com ssorenovations
setspn -a HTTP/domino1.ad.renovations.com ssorenovations
setspn -a HTTP/domino2.ad.renovations.com ssorenovations

透過含有下列任一 DNS 名稱的 HTTP 或 HTTPS URL 來存取 Domino1/Renovations 或 Domino2/Renovation 時,將不會提示登入 Active Directory 網域的網路使用者輸入密碼:

ipsprayer.renovations.com
domino1.ad.renovations.com
domino2.ad.renovations.com

由一部 Domino® 伺服器服務的網站

如果擁有僅由一部 Domino® 伺服器服務的網站,您可以在具名帳戶或「本端系統」帳戶中定義 SPN。例如,假設「網站」文件已配置如下:

  • 「對映至此網站的主機名稱或位址」= www.sso1.renovations.com、www.sso2.renovations.com
  • 「管理此網站的 Domino 伺服器」= Domino1/Renovations

您會對帳戶(在本例中,為「本端系統」帳戶 domino1)執行兩次 setspn,如下所示:

setspn -a HTTP/www.sso1.renovations.com domino1
setspn -a HTTP/www.sso2.renovations.com domino1

透過含有 www.sso1.renovations.com 或 www.sso2.renovations.com 的 HTTP 或 HTTPS URL 來存取 Domino1/Renovations 伺服器時,將不會提示登入 Active Directory 網域的網路使用者輸入密碼。

由不在 URL 中共用 DNS 名稱的多部 Domino® 伺服器服務的網站

如果擁有由不在 URL 中共用 DNS 名稱的多部 Domino® 伺服器服務的網站,您可以:

  • 為一個指定帳戶中的所有伺服器定義 SPN;
  • 為個別指定帳戶中的每一個伺服器定義 SPN;
  • 為每一個伺服器之「本端系統」帳戶中的每一個伺服器定義 SPN。

例如,假設「網站」文件已配置如下:

  • 對映至此網站的主機名稱或位址 = domino1.ad.renovations.com, domino2.ad.renovations.com
  • 「管理此網站的 Domino 伺服器」= Domino1/Renovations、Domino2/Renovations

Domino1/Renovations 僅服務包含 domino1.ad.renovations.com 的 URL,而 Domino2/Renovations 僅服務包含 domino2.ad.renovations.com 的 URL。若要對每一個「本端系統」帳戶(domino1、domino2)定義 SPN,您會對每一個帳戶執行一次 setspn,如下所示: 

setspn -a HTTP/domino1.ad.renovations.com domino1
setspn -a HTTP/domino2.ad.renovations.com domino2

則在透過含有 domino1.ad.renovations.com 的 URL 存取Domino1/Renovations,或透過 domino2.ad.renovations.com 存取 Domino2/Renovations 伺服器時,將不會提示登入 Active Directory 網域的網路使用者提供密碼。

使用「伺服器」文件的 SSO 配置

如果您的 SSO 配置使用「伺服器」文件而非「網站」文件,您可以:

  • 對所有伺服器使用一個指定帳戶
  • 如果未使用 IP Sprayer,則使用多重帳戶,例如由伺服器叢集來組織。
  • 如果未使用 IP sprayer,則使用「本端系統」帳戶(例如,domino1、domino2、domino3)。

例如,假設每一個伺服器都已針對多伺服器階段作業鑑別完成配置,且指定的「網路SSO 配置」文件在「參與伺服器」欄位列出下列伺服器:

  • Domino1/Renovations
  • Domino2/Renovations
  • Domino3/Renovations

並假設對應主機名稱為:

  • domino1.ad.renovations.com
  • domino2.ad.renovations.com
  • domino3.ad.renovations.com

若要使用「本端系統」帳戶,請對每一個帳戶執行一次 setspn,如下所示:

setspn -a HTTP/domino1.ad.renovations.com domino1
setspn -a HTTP/domino2.ad.renovations.com domino2
setspn -a HTTP/domino3.ad.renovations.com domino3

則在以「本端系統」帳戶登入 domino1 而存取含有 domino1.ad.renovations.com 的 HTTP 或 HTTPS URL 時,將不會提示網路使用者提供密碼。含有 domino2.ad.renovations 或 domino3.ad.renovations 的 URL 也是以類似方式運作。