Kerberos 客戶端如何確定 SPN 的服務名稱部分？

如果我部署伺服器呼叫 FOO/host.example.com@myrealm 客戶端如何知道服務名稱是 FOO？

ENV：Unix / MIT kerberos 1.4 或 1.10

我看到 windows 有某種映射：主機/機器 SPN 究竟是如何工作的？，那unix呢？

通常客戶端特定於服務 FOO，並且 SPN 語法FOO/<hostname>將在客戶端應用程序中進行硬編碼。

您需要為您提供的服務手動設置正確的 SPN。

有時，多個服務被分組在同一個 SPN 下，例如，實際的 web 伺服器 apache 使用HTTP/host服務主體名稱以及 Jboss 或 Websphere 之類的應用程序伺服器進行響應並不少見。這可以解釋為，這些服務通常由相同類型的客戶端訪問，即網路瀏覽器。

例如，SSH 和 telnet 使用HOST/<hostname>而不是特定於服務的 SPN，例如SSH/<hostname>.

如果您設置 Dovecot 並同時提供 POP3 和 IMAP 訪問，您將需要為每個服務/協議提供兩個 SPN，儘管它只是一個應用程序。

引用自：https://serverfault.com/questions/579370