Autenticación mutua con Kerberos

  • Artículo

La autenticación mutua es una característica de seguridad en la que un proceso de cliente debe demostrar su identidad en un servicio y el servicio debe demostrar su identidad al cliente, antes de que cualquier tráfico de la aplicación se transmita a través de la conexión de cliente o servicio.

Servicios de dominio de Active Directory y Windows proporcionan compatibilidad con nombres de entidad de seguridad de servicio (SPN), que son un componente clave en el mecanismo Kerberos mediante el que un cliente autentica un servicio. Un SPN es un nombre único que identifica una instancia de un servicio y está asociado a la cuenta de inicio de sesión en la que se ejecuta la instancia de servicio. Los componentes de un SPN son de modo que un cliente puede componer un SPN para un servicio sin la cuenta de inicio de sesión del servicio. Esto permite al cliente solicitar al servicio que autentique su cuenta aunque el cliente no tenga el nombre de la cuenta.

En esta sección se incluye información general sobre:

  • Autenticación mutua mediante Kerberos.
  • Composición de un SPN único.
  • Cómo un instalador de servicio registra los SPN en el objeto de cuenta asociado a una instancia de servicio.
  • Cómo una aplicación cliente usa el objeto de punto de conexión de servicio (SCP) de una instancia de servicio en Servicios de dominio de Active Directory para recuperar datos de los que crear un SPN para el servicio.
  • Cómo una aplicación cliente usa un SPN de servicio junto con la interfaz del proveedor de compatibilidad de seguridad (SSPI) para autenticar el servicio.
  • Ejemplo de código para una aplicación cliente/servicio de Windows Sockets que usa un SCP y SSPI para realizar la autenticación mutua.
  • Ejemplo de código para un cliente/servicio RPC que realiza la autenticación mutua mediante el servicio de nombres RPC y la autenticación RPC.
  • Cómo un servicio de registro y resolución de Windows Sockets (RnR) usa SPN para realizar la autenticación mutua.

En esta sección se describe el uso de Dominio de Active Directory Service para la autenticación mutua, en particular, el propósito de los puntos de conexión de servicio y los nombres de entidad de seguridad de servicio en la autenticación mutua. No es una explicación completa de cómo usar SSPI para la autenticación mutua o la compatibilidad de autenticación y seguridad disponibles para las aplicaciones RPC y Windows Sockets.

Para más información, consulte: