Authentification mutuelle à l'aide de Kerberos
L’authentification mutuelle est une fonctionnalité de sécurité dans laquelle un processus client doit prouver son identité à un service, et le service doit prouver son identité au client, avant qu’un trafic d’application ne soit transmis via la connexion client/service.
services de domaine Active Directory et Windows prennent en charge les noms de principal de service (SPN), qui sont un composant clé dans le mécanisme Kerberos par lequel un client authentifie un service. Un SPN est un nom unique qui identifie un instance d’un service et est associé au compte de connexion sous lequel le service instance s’exécute. Les composants d’un SPN sont tels qu’un client peut composer un SPN pour un service sans le compte d’ouverture de session du service. Cela permet au client de demander au service d’authentifier son compte même si le client n’a pas le nom du compte.
Cette section comprend une vue d’ensemble des éléments suivants :
- Authentification mutuelle à l’aide de Kerberos.
- Composition d’un SPN unique.
- Comment un programme d’installation de service inscrit des noms de principal du service sur l’objet de compte associé à un instance de service.
- Comment une application cliente utilise l’objet de point de connexion de service (SCP) d’un instance de service dans services de domaine Active Directory pour récupérer les données à partir desquelles composer un SPN pour le service.
- Comment une application cliente utilise un SPN de service conjointement avec l’interface SSPI (Security Support Provider Interface) pour authentifier le service.
- Exemple de code pour une application cliente/service Windows Sockets qui utilise un SCP et un SSPI pour effectuer l’authentification mutuelle.
- Exemple de code pour un client/service RPC qui effectue l’authentification mutuelle à l’aide du service de nom RPC et de l’authentification RPC.
- Comment un service RnR (Windows Sockets Registration and Resolution) utilise les SPN pour effectuer l’authentification mutuelle.
Cette section décrit l’utilisation de domaine Active Directory Service pour l’authentification mutuelle, en particulier l’objectif des points de connexion de service et des noms de principal de service dans l’authentification mutuelle. Il ne s’agit pas d’une description complète de l’utilisation de SSPI pour l’authentification mutuelle ou de la prise en charge de l’authentification et de la sécurité disponible pour les applications RPC et Windows Sockets.
Pour plus d'informations, consultez les pages suivantes :
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour