Взаимная проверка подлинности с помощью Kerberos
Взаимная проверка подлинности — это функция безопасности, в которой процесс клиента должен доказать свое удостоверение службе, и служба должна доказать свое удостоверение клиенту, прежде чем трафик приложения передается через подключение клиента или службы.
домен Active Directory службы и Windows обеспечивают поддержку имен субъектов-служб (SPN), которые являются ключевым компонентом в механизме Kerberos, с помощью которого клиент проходит проверку подлинности службы. Имя субъекта-службы — это уникальное имя, определяющее экземпляр службы и связанное с учетной записью входа, в которой выполняется экземпляр службы. Компоненты имени субъекта-службы являются такими, что клиент может создать имя участника-службы для службы без учетной записи входа в службу. Это позволяет клиенту запрашивать службу для проверки подлинности своей учетной записи, даже если у клиента нет имени учетной записи.
В этом разделе представлен обзор:
- Взаимная проверка подлинности с помощью Kerberos.
- Создание уникального имени субъекта-службы.
- Как установщик службы регистрирует имена субъектов-служб в объекте учетной записи, связанном с экземпляром службы.
- Как клиентское приложение использует объект точки подключения службы (SCP) экземпляра службы в службах домен Active Directory для получения данных, из которых создается имя субъекта-службы для службы.
- Как клиентское приложение использует имя субъекта-службы в сочетании с интерфейсом поставщика поддержки безопасности (SSPI) для проверки подлинности службы.
- Пример кода для клиентского или служебного приложения Windows Sockets, использующего SCP и SSPI для выполнения взаимной проверки подлинности.
- Пример кода для клиента или службы RPC, выполняющего взаимную проверку подлинности с помощью службы имен RPC и проверки подлинности RPC.
- Как служба регистрации и разрешения сокетов Windows использует имена субъектов-служб для взаимной проверки подлинности.
В этом разделе рассматривается использование службы домен Active Directory для взаимной проверки подлинности, в частности, назначение точек подключения службы и имен субъектов-служб в взаимной проверке подлинности. Это не полное обсуждение использования SSPI для взаимной проверки подлинности или поддержки проверки подлинности и безопасности, доступной для приложений RPC и Сокетов Windows.
Дополнительные сведения см. в разделе:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по