Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Topik gambaran umum untuk profesional TI ini menjelaskan skema arsitektur dasar untuk autentikasi Windows.
Autentikasi adalah proses di mana sistem memvalidasi informasi login pengguna. Nama dan kata sandi pengguna dibandingkan dengan daftar yang diotorisasi, dan jika sistem mendeteksi kecocokan, akses diberikan sejauh yang ditentukan dalam daftar izin untuk pengguna tersebut.
Sebagai bagian dari arsitektur yang dapat diperluas, sistem operasi Windows Server menerapkan serangkaian penyedia dukungan keamanan autentikasi default, yang mencakup Negosiasi, protokol Kerberos, NTLM, Schannel (saluran aman), dan Digest. Protokol yang digunakan oleh penyedia ini memungkinkan autentikasi pengguna, komputer, dan layanan, dan proses autentikasi memungkinkan pengguna dan layanan yang berwenang untuk mengakses sumber daya dengan cara yang aman.
Di Windows Server, aplikasi mengautentikasi pengguna dengan menggunakan SSPI untuk mengabstraksi panggilan untuk autentikasi. Dengan demikian, pengembang tidak perlu memahami kompleksitas protokol autentikasi tertentu atau membangun protokol autentikasi ke dalam aplikasi mereka.
Sistem operasi Windows Server menyertakan sekumpulan komponen keamanan yang membentuk model keamanan Windows. Komponen-komponen ini memastikan bahwa aplikasi tidak dapat memperoleh akses ke sumber daya tanpa autentikasi dan otorisasi. Bagian berikut menjelaskan elemen arsitektur autentikasi.
Otoritas Keamanan Lokal
Otoritas Keamanan Lokal (LSA) adalah subsistem terlindungi yang mengautentikasi dan memasukkan pengguna ke komputer lokal. Selain itu, LSA mempertahankan informasi tentang semua aspek keamanan lokal di komputer (aspek-aspek ini secara kolektif dikenal sebagai kebijakan keamanan lokal). Ini juga menyediakan berbagai layanan untuk terjemahan antara nama dan pengidentifikasi keamanan (SID).
Subsistem keamanan melacak kebijakan keamanan dan akun yang ada di sistem komputer. Dalam kasus pengendali domain, kebijakan dan akun ini adalah kebijakan dan akun yang berlaku untuk domain tempat pengendali domain berada. Kebijakan dan akun ini disimpan di Direktori Aktif. Subsistem LSA menyediakan layanan untuk memvalidasi akses ke objek, memeriksa hak pengguna, dan menghasilkan pesan audit.
Antarmuka Penyedia Dukungan Keamanan
Antarmuka Penyedia Dukungan Keamanan (SSPI) adalah API yang mendapatkan layanan keamanan terintegrasi untuk autentikasi, integritas pesan, privasi pesan, dan kualitas layanan keamanan untuk protokol aplikasi terdistribusi apa pun.
SSPI adalah implementasi dari Generic Security Service API (GSSAPI). SSPI menyediakan mekanisme di mana aplikasi terdistribusi dapat memanggil salah satu dari beberapa penyedia keamanan untuk mendapatkan koneksi terautentikasi tanpa mengetahui detail protokol keamanan.