Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Wederzijdse verificatie is een beveiligingsfunctie waarbij een clientproces de identiteit van een service moet bewijzen en de service de identiteit moet bewijzen aan de client, voordat toepassingsverkeer via de client/serviceverbinding wordt verzonden.
Active Directory Domain Services en Windows bieden ondersteuning voor service-principalnamen (SPN), een belangrijk onderdeel in het Kerberos-mechanisme waarmee een client een service verifieert. Een SPN is een unieke naam die een exemplaar van een service identificeert en is gekoppeld aan het aanmeldingsaccount waaronder het service-exemplaar wordt uitgevoerd. De onderdelen van een SPN zijn zodanig dat een client een SPN kan opstellen voor een service zonder het aanmeldingsaccount van de service. Hierdoor kan de client de service aanvragen om het account te verifiëren, ook al heeft de client niet de accountnaam.
Deze sectie bevat een overzicht van:
- Wederzijdse verificatie met Behulp van Kerberos.
- Een unieke SPN opstellen.
- Hoe een service-installatieprogramma SPN's registreert voor het accountobject dat is gekoppeld aan een service-exemplaar.
- Hoe een clienttoepassing gebruikmaakt van het SCP-object (Service Connection Point) van een service-exemplaar in Active Directory Domain Services om gegevens op te halen waaruit een SPN voor de service moet worden samengesteld.
- Hoe een clienttoepassing een service-SPN gebruikt in combinatie met de SSPI (Security Support Provider Interface) om de service te verifiëren.
- Een codevoorbeeld voor een Windows Sockets-client-/servicetoepassing die gebruikmaakt van een SCP en SSPI om wederzijdse verificatie uit te voeren.
- Een codevoorbeeld voor een RPC-client/-service die wederzijdse verificatie uitvoert met behulp van de RPC-naamservice en RPC-verificatie.
- Hoe een Windows Sockets Registration and Resolution-service (RnR) SPN's gebruikt om wederzijdse verificatie uit te voeren.
In deze sectie wordt het gebruik van Active Directory Domain Service besproken voor wederzijdse verificatie, met name het doel van serviceverbindingspunten en service-principalnamen in wederzijdse verificatie. Het is geen volledige bespreking van het gebruik van SSPI voor wederzijdse verificatie of de verificatie- en beveiligingsondersteuning die beschikbaar is voor RPC- en Windows Sockets-toepassingen.
Zie voor meer informatie: