Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A megszemélyesítés a kiszolgálóalkalmazások azon képessége, hogy az ügyfél identitását átvegye. Gyakran előfordul, hogy a szolgáltatások megszemélyesítést használnak az erőforrásokhoz való hozzáférés ellenőrzésekor. A kiszolgálóalkalmazás szolgáltatásfiókkal fut, de amikor a kiszolgáló elfogad egy ügyfélkapcsolatot, megszemélyesíti az ügyfelet, hogy a hozzáférési ellenőrzések az ügyfél hitelesítő adataival legyenek végrehajtva. Az átviteli biztonság a hitelesítő adatok átadására és a hitelesítő adatok használatával történő kommunikáció biztonságossá tételére szolgáló mechanizmus. Ez a témakör a Windows Communication Foundation (WCF) átviteli biztonságának megszemélyesítési funkcióval való használatát ismerteti. További információ az üzenetbiztonságot használó megszemélyesítésről: Delegálás és megszemélyesítés.
Öt megszemélyesítési szint
A közlekedési biztonság öt megszemélyesítési szintet használ, az alábbi táblázatban leírtak szerint.
Megszemélyesítés szintje | Leírás |
---|---|
Egyik sem | A kiszolgálóalkalmazás nem próbálja meg megszemélyesíteni az ügyfelet. |
Névtelen | A kiszolgálóalkalmazás hozzáférés-ellenőrzéseket végezhet az ügyfél hitelesítő adatain, de nem kap információt az ügyfél identitásáról. Ez a megszemélyesítési szint csak a gépen belüli kommunikáció, például a nevesített csövek esetében értelmezhető. A távoli kapcsolaton keresztüli használat Anonymous felemeli a megszemélyesítés szintjét az Azonosítás szintre. |
Azonosít | A kiszolgálóalkalmazás ismeri az ügyfél identitását, és hozzáférés-ellenőrzést végezhet az ügyfél hitelesítő adatain, de nem tudja megszemélyesíteni az ügyfelet. Az azonosítás az SSPI hitelesítő adataival használt alapértelmezett megszemélyesítési szint a WCF-ben, kivéve, ha a jogkivonat-szolgáltató más megszemélyesítési szintet biztosít. |
Valakit megszemélyesíteni | A kiszolgálóalkalmazás a hozzáférési ellenőrzések végrehajtása mellett ügyfélként is hozzáférhet a kiszolgálógép erőforrásaihoz. A kiszolgálóalkalmazás nem tud hozzáférni az ügyfél identitását használó távoli gépek erőforrásaihoz, mert a megszemélyesített jogkivonat nem rendelkezik hálózati hitelesítő adatokkal |
Képviselő | A delegálási megszemélyesítési szint amellett, hogy ugyanazokkal a képességekkel Impersonate rendelkezik, lehetővé teszi a kiszolgálóalkalmazás számára, hogy az ügyfél identitásával elérhesse a távoli gépek erőforrásait, és átadhassa az identitást más alkalmazásoknak.Fontos A kiszolgáló tartományi fiókját megbízhatóként kell megjelölni a tartományvezérlő delegálásához a további funkciók használatához. Ez a megszemélyesítési szint nem használható bizalmasként megjelölt ügyféltartomány-fiókokkal. |
A közlekedésbiztonságban leggyakrabban használt szintek a következők Identify
: és Impersonate
. Ezek a szintek None
Anonymous
nem ajánlottak a tipikus használathoz, és számos átvitel nem támogatja ezeket a szinteket hitelesítéssel. A Delegate
szint egy hatékony funkció, amelyet körültekintően kell használni. Hitelesítő adatok delegálására csak megbízható kiszolgálóalkalmazások jogosultak.
A Impersonate
vagy Delegate
szinteken való megszemélyesítéshez a kiszolgálóalkalmazásnak rendelkeznie kell a SeImpersonatePrivilege
jogosultsággal. Egy alkalmazás alapértelmezés szerint ilyen jogosultsággal rendelkezik, ha a Rendszergazda csoport egyik fiókjában vagy egy szolgáltatás SID-jével (hálózati szolgáltatás, helyi szolgáltatás vagy helyi rendszer) rendelkező fiókon fut. A megszemélyesítéshez nincs szükség az ügyfél és a kiszolgáló kölcsönös hitelesítésére. Egyes megszemélyesítést támogató hitelesítési sémák, például az NTLM nem használhatók kölcsönös hitelesítéssel.
Transport-Specific megszemélyesítéssel kapcsolatos problémák
A WCF-ben az átviteli mód kiválasztása befolyásolja a megszemélyesítés lehetőségeit. Ez a szakasz a WCF-ben a szabványos HTTP- és elnevezett csőátviteleket érintő problémákat ismerteti. Az egyéni átvitelek saját korlátozásokkal rendelkeznek a megszemélyesítés támogatásával kapcsolatban.
Elnevezett csőátvitel
A rendszer a következő elemeket használja a nevesített csőátvitelhez:
A nevesített csőátvitel csak a helyi gépen használható. A WCF nevesített csőátvitele kifejezetten letiltja a gépközi kapcsolatokat.
A megnevezett csövek nem használhatók a
Impersonate
vagy aDelegate
megszemélyesítési szinttel. A megnevezett cső nem tudja érvényesíteni a gépi garanciát ezen megszemélyesítési szinteken.
A nevesített csövekről további információt a Szállítás kiválasztása című témakörben talál.
HTTP-átvitel
A HTTP-átvitelt (WSHttpBinding és BasicHttpBinding) használó kötések számos hitelesítési sémát támogatnak, a HTTP-hitelesítés ismertetése szerint. A támogatott megszemélyesítési szint a hitelesítési sémától függ. A HTTP-átvitelhez a következő elemek használhatók:
A
Anonymous
hitelesítési séma figyelmen kívül hagyja a megszemélyesítést.A
Basic
hitelesítési séma csak aDelegate
szintet támogatja. Minden meglévő alacsonyabb megszemélyesítési szint fel van emelve.A
Digest
hitelesítési séma csak aImpersonate
ésDelegate
szinteket támogatja.A
NTLM
közvetlenül vagy egyeztetéssel kiválasztható hitelesítési séma csak aDelegate
helyi gépen lévő szintet támogatja.A Kerberos hitelesítési séma, amely csak egyeztetéssel választható ki, bármilyen támogatott megszemélyesítési szinttel használható.
A HTTP-átvitelről további információt az Átvitel kiválasztása című témakörben talál.