Compartilhar via


Autenticação mútua usando Kerberos

A autenticação mútua é um recurso de segurança no qual um processo de cliente deve provar sua identidade para um serviço, e o serviço deve provar sua identidade para o cliente, antes que qualquer tráfego de aplicativo seja transmitido pela conexão cliente/serviço.

Os Serviços de Domínio Active Directory e o Windows fornecem suporte para SPN (nomes de entidade de serviço), que são um componente-chave no mecanismo Kerberos pelo qual um cliente autentica um serviço. Um SPN é um nome exclusivo que identifica uma instância de um serviço e está associado à conta de logon sob a qual a instância de serviço é executada. Os componentes de um SPN são tais que um cliente pode compor um SPN para um serviço sem a conta de logon do serviço. Isso permite que o cliente solicite que o serviço autentique sua conta, mesmo que o cliente não tenha o nome da conta.

Esta seção inclui uma visão geral de:

  • Autenticação mútua usando Kerberos.
  • Compondo um SPN exclusivo.
  • Como um instalador de serviço registra SPNs no objeto de conta associado a uma instância de serviço.
  • Como um aplicativo cliente usa o objeto SCP (ponto de conexão de serviço) de uma instância de serviço nos Serviços de Domínio Active Directory para recuperar dados dos quais compor um SPN para o serviço.
  • Como um aplicativo cliente usa um SPN de serviço em conjunto com o SSPI (Security Support Provider Interface) para autenticar o serviço.
  • Um exemplo de código para um aplicativo cliente/serviço do Windows Sockets que usa um SCP e SSPI para executar a autenticação mútua.
  • Um exemplo de código para um cliente/serviço RPC que executa autenticação mútua usando o serviço de nome RPC e autenticação RPC.
  • Como um serviço de Registro e Resolução de Windows Sockets (RnR) usa SPNs para executar a autenticação mútua.

Esta seção discute o uso do Serviço de Domínio Active Directory para autenticação mútua, em particular, a finalidade dos pontos de conexão de serviço e nomes de entidade de serviço na autenticação mútua. Não é uma discussão completa sobre como usar o SSPI para autenticação mútua ou o suporte de autenticação e segurança disponível para aplicativos RPC e Windows Sockets.

Para saber mais, veja: