NTLMSSP
NTLMSSP, dont l’identificateur de service d’authentification est RPC_C_AUTHN_WINNT, est un fournisseur de support de sécurité disponible sur toutes les versions de DCOM. Il utilise le protocole NTLM pour l’authentification. NTLM ne transmet jamais le mot de passe de l’utilisateur au serveur pendant l’authentification. Par conséquent, le serveur ne peut pas utiliser le mot de passe pendant l’emprunt d’identité pour accéder aux ressources réseau auxquelles l’utilisateur aurait accès. Seules les ressources locales sont accessibles.
NTLM fonctionne à la fois localement et sur plusieurs ordinateurs. Autrement dit, si le client et le serveur se trouvent sur des ordinateurs différents, NTLM peut toujours s’assurer que le client est bien celui qu’il prétend être.
Avec NTLM, l’identité du client est représentée par un nom de domaine, un nom d’utilisateur et un mot de passe ou un jeton. Lorsqu’un serveur appelle CoQueryClientBlanket, le nom de domaine et le nom d’utilisateur du client sont retournés. Toutefois, lorsqu’un serveur appelle CoImpersonateClient, le jeton du client est retourné. S’il n’existe aucune relation d’approbation entre le client et le serveur et si le serveur a un compte local avec le même nom et le même mot de passe que le client, ce compte sera utilisé pour représenter le client.
NTLM prend en charge l’authentification mutuelle entre les threads et les processus (localement uniquement). Si le client spécifie le nom principal du serveur sous la forme domain\user dans un appel à IClientSecurity::SetBlanket, l’identité du serveur doit correspondre à ce nom principal, sinon l’appel échoue. Si le client spécifie NULL, l’identité du serveur n’est pas vérifiée.
NTLM prend également en charge les threads croisés et les processus au niveau de l’emprunt d’identité des délégués (localement uniquement).
Rubriques connexes