指定 SPN 的正确格式是什么？

由于您没有提到，我假设您是在Windows Active Directory域环境中？我这么说是因为您示例中给出的命令“ktpass”是Windows本机的。基于此，我将假定您的Active Directory DNS域名为abc。com和Kerberos领域名称为ABC.com。

1. 当您创建keytab时，SPN会在那时映射到用户或计算机对象（主体，用Kerberos术语来说），因此您以后不需要调整该主体的SPN，除非您将其添加为辅助SPN
2. 帮自己一个忙，将Kerberos领域名称以大写形式放在keytab创建命令中。最好是随机化密码，这样就没有人知道了。Kerberos SSO功能可以很好地与之配合使用。Kerberos领域名称需要附加到“/mapUser”参数。我已经把你的例子修改成了一个你应该使用的更好的例子
3. 这超出了您的问题范围，但不再使用DES加密。这在业界早就不受欢迎了。我不会再多说了，因为这不是你要问的
4. 不要使用“setspn-a”语法在主体上添加或创建SPN，而是使用“setspn-s”作为“-s”检查重复的SPN，而“-a”没有（请参阅：“setspn-s”与“setspn-a”）
5. 确保您完全符合SPN的主机部分（即dummy.abc.com，而不仅仅是dummy）。否则，身份验证机制可能会立即尝试NTLM而不是Kerberos，这不是您想要的
6. 在只包含单个DNS域和单个Kerberos域的简单环境中，已经设置了Kerberos领域到DNS域的映射（在UNIX/Linux上通常由/etc/krb5.conf进行，Windows会自动处理，但如果没有，则会尝试C:\Windows\krb5.ini（如果存在）），虽然在运行“setspn-a”或“setspn-s”时不需要将Kerberos领域限定为SPN的一部分，但应该在Kerberos创建命令中这样做

所以，在你的例子中，基于我提到的所有内容，虽然你可以使用：

setspn -a CS/dummy dummyuser

最好是这样做：

setspn -s CS/dummy.abc.com dummyuser

为了获得额外的功劳，我还相应地修改了您的密钥表创建命令，尽管保留了DES部分以免进一步混淆。

ktpass +rndPass -out dummy.1.keytab -princ CS/dummy.abc.com@ABC.COM -crypto DES-CBC-MD5 +DumpSalt -ptype KRB5_NT_PRINCIPAL +desOnly /mapOp set /mapUser dummyuser@ABC.COM