Megszemélyesítés használata a Transport Security használatával
A megszemélyesítés a kiszolgálóalkalmazások azon képessége, hogy az ügyfél identitását átvegye. Gyakran előfordul, hogy a szolgáltatások megszemélyesítést használnak az erőforrásokhoz való hozzáférés ellenőrzésekor. A kiszolgálóalkalmazás szolgáltatásfiókkal fut, de amikor a kiszolgáló elfogad egy ügyfélkapcsolatot, megszemélyesíti az ügyfelet, hogy a hozzáférési ellenőrzések az ügyfél hitelesítő adataival legyenek végrehajtva. Az átviteli biztonság a hitelesítő adatok átadására és a hitelesítő adatok használatával történő kommunikáció biztonságossá tételére szolgáló mechanizmus. Ez a témakör a Windows Communication Foundation (WCF) átviteli biztonságának megszemélyesítési funkcióval való használatát ismerteti. További információ az üzenetbiztonságot használó megszemélyesítésről: Delegálás és megszemélyesítés.
Öt megszemélyesítési szint
A közlekedési biztonság öt megszemélyesítési szintet használ, az alábbi táblázatban leírtak szerint.
Megszemélyesítés szintje | Leírás |
---|---|
Egyik sem | A kiszolgálóalkalmazás nem próbálja meg megszemélyesíteni az ügyfelet. |
Névtelen | A kiszolgálóalkalmazás hozzáférés-ellenőrzéseket végezhet az ügyfél hitelesítő adatain, de nem kap információt az ügyfél identitásáról. Ez a megszemélyesítési szint csak a gépi kommunikáció, például a nevesített csövek esetében értelmezhető. A távoli kapcsolattal való használat Anonymous előlépteti a megszemélyesítési szintet az Azonosítás értékre. |
Azonosítás | A kiszolgálóalkalmazás ismeri az ügyfél identitását, és hozzáférés-ellenőrzést végezhet az ügyfél hitelesítő adatain, de nem tudja megszemélyesíteni az ügyfelet. Az azonosítás az SSPI hitelesítő adataival használt alapértelmezett megszemélyesítési szint a WCF-ben, kivéve, ha a jogkivonat-szolgáltató más megszemélyesítési szintet biztosít. |
Megszemélyesítés | A kiszolgálóalkalmazás a hozzáférési ellenőrzések végrehajtása mellett ügyfélként is hozzáférhet a kiszolgálógép erőforrásaihoz. A kiszolgálóalkalmazás nem tud hozzáférni az ügyfél identitását használó távoli gépek erőforrásaihoz, mert a megszemélyesített jogkivonat nem rendelkezik hálózati hitelesítő adatokkal |
Delegált | A delegálási megszemélyesítési szint amellett, hogy ugyanazokkal a képességekkel Impersonate rendelkezik, lehetővé teszi a kiszolgálóalkalmazás számára, hogy az ügyfél identitásával elérhesse a távoli gépek erőforrásait, és átadhassa az identitást más alkalmazásoknak.Fontos: A kiszolgáló tartományi fiókját megbízhatóként kell megjelölni a tartományvezérlő delegálásához a további funkciók használatához. Ez a megszemélyesítési szint nem használható bizalmasként megjelölt ügyféltartomány-fiókokkal. |
A közlekedésbiztonságban leggyakrabban használt szintek a következők Identify
: és Impersonate
. Ezek a szintek None
Anonymous
nem ajánlottak a tipikus használathoz, és számos átvitel nem támogatja ezeket a szinteket hitelesítéssel. A Delegate
szint egy hatékony funkció, amelyet körültekintően kell használni. Hitelesítő adatok delegálására csak megbízható kiszolgálóalkalmazások jogosultak.
A megszemélyesítés vagy Delegate
a Impersonate
szintek megszemélyesítéséhez a kiszolgálóalkalmazásnak rendelkeznie kell a SeImpersonatePrivilege
jogosultsággal. Az alkalmazások alapértelmezés szerint ezt a jogosultságot használják, ha az Rendszergazda istrators csoport egyik fiókjában vagy egy szolgáltatás SID-jével (hálózati szolgáltatás, helyi szolgáltatás vagy helyi rendszer) rendelkező fiókon fut. A megszemélyesítéshez nincs szükség az ügyfél és a kiszolgáló kölcsönös hitelesítésére. Egyes megszemélyesítést támogató hitelesítési sémák, például az NTLM nem használhatók kölcsönös hitelesítéssel.
A megszemélyesítéssel kapcsolatos közlekedésspecifikus problémák
A WCF-ben a szállítás kiválasztása befolyásolja a megszemélyesítés lehetséges lehetőségeit. Ez a szakasz a WCF-ben a szabványos HTTP- és elnevezett csőátviteleket érintő problémákat ismerteti. Az egyéni átvitelek saját korlátozásokkal rendelkeznek a megszemélyesítés támogatására.
Elnevezett csőátvitel
A rendszer a következő elemeket használja a nevesített csőátvitelhez:
A nevesített csőátvitel csak a helyi gépen használható. A WCF nevesített csőátvitele kifejezetten letiltja a gépközi kapcsolatokat.
Az elnevezett csövek nem használhatók a megszemélyesítési szinttel vagy a
Impersonate
Delegate
megszemélyesítési szinttel. A megnevezett cső nem tudja érvényesíteni a gépi garanciát ezen megszemélyesítési szinteken.
A nevesített csövekről további információt a Szállítás kiválasztása című témakörben talál.
HTTP-átvitel
A HTTP-átvitelt (WSHttpBindingés BasicHttpBinding) használó kötések számos hitelesítési sémát támogatnak, a HTTP-hitelesítés ismertetése szerint. A támogatott megszemélyesítési szint a hitelesítési sémától függ. A HTTP-átvitelhez a következő elemek használhatók:
A
Anonymous
hitelesítési séma figyelmen kívül hagyja a megszemélyesítést.A
Basic
hitelesítési séma csak aDelegate
szintet támogatja. Minden alacsonyabb megszemélyesítési szint frissül.A
Digest
hitelesítési séma csak a szinteket ésDelegate
a szinteketImpersonate
támogatja.A
NTLM
közvetlenül vagy egyeztetéssel kiválasztható hitelesítési séma csak aDelegate
helyi gépen lévő szintet támogatja.A Kerberos hitelesítési séma, amely csak egyeztetéssel választható ki, bármilyen támogatott megszemélyesítési szinttel használható.
A HTTP-átvitelről további információt az Átvitel kiválasztása című témakörben talál.