Níveis de representação
Se a representação for bem-sucedida, isso significa que o cliente concordou em permitir que o servidor seja o cliente em algum grau. Os diferentes graus de representação são chamados de níveis de representação e indicam quanta autoridade é dada ao servidor quando ele está se passando pelo cliente.
Atualmente, existem quatro níveis de representação: anônimo, identificar, personificar e delegar. A lista a seguir descreve brevemente cada nível de representação:
-
Anónimo (RPC_C_IMP_LEVEL_ANONYMOUS)
-
O cliente é anônimo ao servidor. O processo do servidor pode representar o cliente, mas o token de representação não contém nenhuma informação sobre o cliente. Esse nível só é suportado no transporte de comunicação entre processos local. Todos os outros transportes promovem silenciosamente este nível para identificar.
-
identificar (RPC_C_IMP_LEVEL_IDENTIFY)
-
O nível padrão do sistema. O servidor pode obter a identidade do cliente e o servidor pode representar o cliente para executar verificações de ACL.
-
personificar (RPC_C_IMP_LEVEL_IMPERSONATE)
-
O servidor pode representar o contexto de segurança do cliente ao atuar em nome do cliente. O servidor pode acessar recursos locais como o cliente. Se o servidor for local, ele poderá acessar recursos de rede como o cliente. Se o servidor for remoto, ele poderá acessar somente recursos que estejam no mesmo computador que o servidor.
-
delegado (RPC_C_IMP_LEVEL_DELEGATE)
-
O nível de representação mais avançado. Quando esse nível é selecionado, o servidor (local ou remoto) pode representar contexto de segurança do cliente ao atuar em nome do cliente. Durante a representação, as credenciais do cliente (local e de rede) podem ser passadas para qualquer número de computadores.
Para que a representação funcione no nível de delegado, os seguintes requisitos devem ser atendidos:
- O cliente deve definir o nível de representação como RPC_C_IMP_LEVEL_DELEGATE.
- A conta de cliente não deve ser marcada como "A conta é confidencial e não pode ser delegada" no Serviço Active Directory.
- A conta do servidor deve ser marcada com o atributo "Confiável para delegação" no Serviço Active Directory.
- Os computadores que hospedam o cliente, o servidor e quaisquer servidores "downstream" devem estar todos em execução em um domínio.
Ao escolher o nível de representação, o cliente informa ao servidor até onde ele pode ir na representação do cliente. O cliente define o nível de representação no proxy que usa para se comunicar com o servidor.
Definindo o nível de representação
Há duas maneiras de definir o nível de representação:
- O cliente pode configurá-lo em todo o processo, através de uma chamada para CoInitializeSecurity.
- Um cliente pode definir a segurança em nível de proxy em uma interface de um objeto remoto por meio de uma chamada para IClientSecurity::SetBlanket (ou a função auxiliar CoSetProxyBlanket).
Você define o nível de representação passando um valor de RPC_C_IMP_LEVEL_xxx apropriado para CoInitializeSecurity ou CoSetProxyBlanket por meio do parâmetro dwImpLevel.
Diferentes serviços de autenticação oferecem suporte à representação em nível de delegado em diferentes extensões. Por exemplo, o NTLMSSP oferece suporte à representação em nível de delegado entre threads e processos cruzados, mas não entre computadores. Por outro lado, o protocolo Kerberos oferece suporte à representação em nível de delegado através dos limites do computador, enquanto o Schannel não oferece suporte a nenhuma representação no nível de delegado. Se você tiver um proxy no nível de representação e quiser definir o nível de representação para delegar, chame SetBlanket usando as constantes padrão para cada parâmetro, exceto o nível de representação. COM escolherá NTLM localmente e o protocolo Kerberos remotamente (quando o protocolo Kerberos funcionará).
Tópicos relacionados