Ntlmssp

  • [アーティクル]

認証サービス識別子がRPC_C_AUTHN_WINNTされている NTLMSSP は、DCOM のすべてのバージョンで使用できるセキュリティ サポート プロバイダーです。 認証には NTLM プロトコルが使用されます。 NTLM は、認証時にユーザーのパスワードを実際にサーバーに送信することはありません。 そのため、ユーザーがアクセスできるネットワーク リソースにアクセスするために、偽装中にサーバーでパスワードを使用することはできません。 ローカル リソースにのみアクセスできます。

NTLM は、ローカルとコンピューター間の両方で機能します。 つまり、クライアントとサーバーが異なるコンピューター上にある場合でも、NTLM はクライアントがそのユーザーであることを確認できます。

NTLM では、クライアントの ID はドメイン名、ユーザー名、パスワードまたはトークンで表されます。 サーバーが CoQueryClientBlanket を呼び出すと、クライアントのドメイン名とユーザー名が返されます。 ただし、サーバーが CoImpersonateClient を呼び出すと、クライアントのトークンが返されます。 クライアントとサーバーの間に信頼関係がなく、サーバーにクライアントと同じ名前とパスワードを持つローカル アカウントがある場合、そのアカウントがクライアントを表すために使用されます。

NTLM では、相互認証のクロススレッドとクロスプロセスがサポートされます (ローカルのみ)。 クライアントが IClientSecurity::SetBlanket の呼び出しで domain\user 形式のサーバーのプリンシパル名を指定した場合、サーバーの ID はそのプリンシパル名と一致する必要があります。または、呼び出しは失敗します。 クライアントが NULL を指定した場合、サーバーの ID はチェックされません。

NTLM では、委任偽装レベルのクロススレッドとクロスプロセスもサポートされます (ローカルのみ)。

COM とセキュリティ パッケージ