Condividi tramite

Autenticazione reciproca in un servizio Windows Sockets con SCP

Gli argomenti di questa sezione includono esempi di codice che illustrano come eseguire l'autenticazione reciproca con un servizio che pubblica se stesso usando un punto di connessione del servizio (SCP). Gli esempi sono basati su un servizio Microsoft Windows Sockets che usa un pacchetto SSPI per gestire la negoziazione di autenticazione reciproca tra un client e il servizio. Utilizzare le procedure seguenti per implementare l'autenticazione reciproca in questo scenario.

Per registrare i nomi SPN in una directory quando viene installato un servizio

  1. Chiamare la funzione DsGetSpn per comporre i nomi delle entità servizio (SPN) per il servizio.
  2. Chiamare la funzione DsWriteAccountSpn per registrare i nomi SPN nell'account del servizio o nell'account computer nel cui contesto verrà eseguito il servizio. Questo passaggio deve essere eseguito da un amministratore di dominio; un'eccezione è che un servizio in esecuzione con l'account LocalSystem può registrare il nome SPN nel formato "<classe>/<host> del servizio" nell'account computer dell'host del servizio.

Per verificare la configurazione all'avvio del servizio

Per autenticare il servizio all'avvio del client

  1. Recuperare i dati di connessione dal punto di connessione del servizio del servizio.
  2. Stabilire una connessione al servizio.
  3. Chiamare la funzione DsMakeSpn per comporre un nome SPN per il servizio. Comporre il nome SPN dalla stringa della classe del servizio nota e i dati recuperati dal punto di connessione del servizio. Questi dati includono il nome host del server in cui è in esecuzione il servizio. Tenere presente che il nome host deve essere un nome DNS.
  4. Usare un pacchetto di sicurezza SSPI per eseguire l'autenticazione:
    1. Chiamare la funzione AcquireCredentialsHandle per acquisire le credenziali del client.
    2. Passare le credenziali client e il nome SPN alla funzione InitializeSecurityContext per generare un BLOB di sicurezza da inviare al servizio per l'autenticazione. Impostare il flag ISC_REQ_MUTUAL_AUTH per richiedere l'autenticazione reciproca.
    3. I BLOB di Exchange con il servizio fino al completamento dell'autenticazione.
  5. Verificare la maschera delle funzionalità restituite per il flag ISC_REQ_MUTUAL_AUTH per verificare che sia stata eseguita l'autenticazione reciproca.
  6. Se l'autenticazione ha avuto esito positivo, scambiare traffico con il servizio autenticato. Usare la firma digitale per assicurarsi che i messaggi tra client e servizio non siano stati manomessi. A meno che i requisiti di prestazioni non siano gravi, usare la crittografia. Per altre informazioni e un esempio di codice che illustra come usare le funzioni MakeSignature, VerifySignature, EncryptMessage e DecryptMessage in un pacchetto SSPI, vedere Garantire l'integrità della comunicazione durante Lo scambio di messaggi.

Per autenticare il client dal servizio quando un client si connette

  1. Caricare un pacchetto di sicurezza SSPI che supporta l'autenticazione reciproca.
  2. Quando un client si connette, usare il pacchetto di sicurezza per eseguire l'autenticazione:
    1. Chiamare la funzione AcquireCredentialsHandle per acquisire le credenziali del servizio.
    2. Passare le credenziali del servizio e il BLOB di sicurezza ricevuti dal client alla funzione AcceptSecurityContext per generare un BLOB di sicurezza da inviare al client.
    3. Scambiare BLOB con il client fino al completamento dell'autenticazione.
  3. Controllare la maschera delle funzionalità restituite per il flag ASC_RET_MUTUAL_AUTH per verificare che sia stata eseguita l'autenticazione reciproca.
  4. Se l'autenticazione ha avuto esito positivo, scambiare traffico con il client autenticato. Usare la firma digitale e la crittografia a meno che le prestazioni non siano un problema.

Per altre informazioni e un esempio di codice per questo scenario di autenticazione reciproca, vedere:

Per altre informazioni, vedere: