NTLMSSP

NTLMSSP, dessen Authentifizierungsdienstbezeichner RPC_C_AUTHN_WINNT ist, ist ein Sicherheitsunterstützungsanbieter, der für alle Versionen von DCOM verfügbar ist. Für die Authentifizierung wird das NTLM-Protokoll verwendet. NTLM überträgt das Kennwort des Benutzers während der Authentifizierung nie an den Server. Daher kann der Server das Kennwort während des Identitätswechsels nicht verwenden, um auf Netzwerkressourcen zuzugreifen, auf die der Benutzer Zugriff hätte. Es kann nur auf lokale Ressourcen zugegriffen werden.

NTLM funktioniert sowohl lokal als auch computerübergreifend. Das heißt, wenn sich der Client und der Server auf unterschiedlichen Computern befinden, kann NTLM weiterhin sicherstellen, dass der Client der ist, der er behauptet, zu sein.

Bei NTLM wird die Identität des Clients durch einen Domänennamen, einen Benutzernamen und ein Kennwort oder Token dargestellt. Wenn ein Server CoQueryClientBlanket aufruft, werden der Domänenname und der Benutzername des Clients zurückgegeben. Wenn ein Server jedoch CoImpersonateClient aufruft, wird das Token des Clients zurückgegeben. Wenn keine Vertrauensstellung zwischen Client und Server besteht und der Server über ein lokales Konto mit demselben Namen und Kennwort wie der Client verfügt, wird dieses Konto verwendet, um den Client darzustellen.

NTLM unterstützt die gegenseitige thread- und prozessübergreifende Authentifizierung (nur lokal). Wenn der Client den Prinzipalnamen des Servers im Format Domäne\Benutzer in einem Aufruf von IClientSecurity::SetBlanket angibt, muss die Identität des Servers mit diesem Prinzipalnamen übereinstimmen, andernfalls schlägt der Aufruf fehl. Wenn der Client NULL angibt, wird die Identität des Servers nicht überprüft.

NTLM unterstützt zusätzlich den Thread- und Prozessübergreifenden (nur lokal) den Identitätswechsel auf Delegatebene.

Zugehörige Themen

COM- und Sicherheitspakete