Простите, если ввёл Вас в заблуждение словом "правильно" =) . Оно относилось лишь работе с неочевидными возможностями инструмента ktpass, чтобы кто-то, решающий задачу формирования keytab-файла с несколькими SPN, избежал тех плясок вокруг KVNO, с которыми столкнулся я сам. Ни в коем случае я не претендую на "правильность" распределения сервисов по серверам или планирования dns-именования. Вообще, в unix-среде не принято позиционировать свои решения как единственно правильные =) .
С другой стороны, это решение оказалось жизнеспособным, уже сколько лет прошло, а ребята не жалуются =) . Вполне логично, если в конторе WINDOM Inc обращаются на корпоративный сайт по адресу
http://windom.net , а не
http://webserver.windom.net .
... описываете то, что в keytab включается помимо SPN-записи с fqdn сервера(или службы) ещё и SPN-запись с fqdn имеми домена оправдывая это "удобстовом" (типа теперь вообще можно будет разные имена использовать на веб-сервере)...
Перечитал статью, про подобное "удобство" там не сказано ни слова =( . Речь шла о том, что если www и sandbox являются CNAME для webserver, то для них не нужно добавлять отдельные SNP в keytab-файл, достаточно SPN для webserver.
Но смысл в том, что это неправильно и так делать нельзя. Это противоречит логике управления SPN в Active Directory.
Представьте, что условно завтра Вам потребуется развернуть ещe 2,3,4... новых веб-сервера аналогичных, и чтобы для каждого сервера поддерживалась кучка разных SPN...и следуя Вашей логике, можно будет сделать аналогичные keytab-файлы для каждого из этих серверов. Но это совсем не так, ибо утилиты управления SPN проверяют уникальность SPN-записей во всём домене.
Вы можете проверить это сами. Просто попытайтесь вручную создать одну и туже SPN-запись вида HTTP/windom.net@WIMDOM.NET двум разным учётным записям.
setspn -A HTTP/windom.net SERVER1
setspn -A HTTP/windom.net SERVER2
Охотно соглашусь, что Вы правы. Но снова хочу спросить:
зачем так делать? Или лучше так: кто в здравом уме будет пытаться внедрять такой нелепый dns-план? Мне кажется, Ваши опасения немного преувеличены.
Егор