Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez az informatikai szakemberek számára készült áttekintési témakör a Windows-hitelesítés alapvető architektúrarendszerét ismerteti.
A hitelesítés az a folyamat, amellyel a rendszer ellenőrzi a felhasználó bejelentkezési vagy bejelentkezési adatait. A rendszer összehasonlítja a felhasználó nevét és jelszavát egy engedélyezett listával, és ha a rendszer egyezést észlel, a hozzáférés az adott felhasználó engedélylistájában megadott mértékben lesz engedélyezve.
A bővíthető architektúra részeként a Windows Server operációs rendszerek olyan alapértelmezett hitelesítési biztonsági támogatási szolgáltatókat implementálnak, amelyek közé tartozik az Egyeztetés, a Kerberos protokoll, az NTLM, a Schannel (biztonságos csatorna) és a Digest. A szolgáltatók által használt protokollok lehetővé teszik a felhasználók, számítógépek és szolgáltatások hitelesítését, a hitelesítési folyamat pedig lehetővé teszi a jogosult felhasználók és szolgáltatások számára az erőforrások biztonságos elérését.
A Windows Serverben az alkalmazások az SSPI használatával hitelesítik a felhasználókat a hitelesítésre irányuló absztrakt hívásokhoz. Így a fejlesztőknek nem kell megérteniük az adott hitelesítési protokollok összetettségét, és nem kell hitelesítési protokollokat építeniük az alkalmazásaikba.
A Windows Server operációs rendszerek a Windows biztonsági modelljét alkotó biztonsági összetevők készletét tartalmazzák. Ezek az összetevők biztosítják, hogy az alkalmazások hitelesítés és engedélyezés nélkül ne férhessenek hozzá az erőforrásokhoz. A következő szakaszok a hitelesítési architektúra elemeit ismertetik.
Helyi biztonsági hatóság
A Helyi biztonsági hatóság (LSA) egy védett alrendszer, amely hitelesíti és bejelentkezteti a felhasználókat a helyi számítógépre. Az LSA emellett a számítógép helyi biztonságának minden aspektusára vonatkozó információkat is fenntart (ezeket a szempontokat együttesen helyi biztonsági szabályzatnak nevezzük). Emellett különböző szolgáltatásokat biztosít a nevek és a biztonsági azonosítók (SID-k) közötti fordításhoz.
A biztonsági alrendszer nyomon követi a számítógépes rendszeren található biztonsági szabályzatokat és fiókokat. Tartományvezérlők esetén ezek a szabályzatok és fiókok azok, amelyek a tartományvezérlőt tartalmazó tartományra érvényesek. Ezek a szabályzatok és fiókok az Active Directoryban vannak tárolva. Az LSA-alrendszer szolgáltatásokat biztosít az objektumokhoz való hozzáférés ellenőrzéséhez, a felhasználói jogosultságok ellenőrzéséhez és az auditüzenetek generálásához.
biztonsági támogatás szolgáltatójának felülete
A biztonsági támogatási szolgáltató felülete (SSPI) az az API, amely integrált biztonsági szolgáltatásokat szerez be a hitelesítéshez, az üzenetintegritáshoz, az üzenetek adatvédettségéhez és az elosztott alkalmazásprotokollok biztonsági minőségéhez.
Az SSPI a Generic Security Service API (GSSAPI) implementálása. Az SSPI egy olyan mechanizmust biztosít, amellyel egy elosztott alkalmazás meghívhatja több biztonsági szolgáltató egyikét, hogy hiteles kapcsolatot szerezzen be a biztonsági protokoll részleteinek ismerete nélkül.