Поделиться через

Взаимная проверка подлинности с помощью Kerberos

  • Статья

Взаимная проверка подлинности — это функция безопасности, в которой процесс клиента должен доказать свое удостоверение службе, и служба должна доказать свое удостоверение клиенту, прежде чем трафик приложения передается через подключение клиента или службы.

домен Active Directory службы и Windows обеспечивают поддержку имен субъектов-служб (SPN), которые являются ключевым компонентом в механизме Kerberos, с помощью которого клиент проходит проверку подлинности службы. Имя субъекта-службы — это уникальное имя, определяющее экземпляр службы и связанное с учетной записью входа, в которой выполняется экземпляр службы. Компоненты имени субъекта-службы являются такими, что клиент может создать имя участника-службы для службы без учетной записи входа в службу. Это позволяет клиенту запрашивать службу для проверки подлинности своей учетной записи, даже если у клиента нет имени учетной записи.

В этом разделе представлен обзор:

  • Взаимная проверка подлинности с помощью Kerberos.
  • Создание уникального имени субъекта-службы.
  • Как установщик службы регистрирует имена субъектов-служб в объекте учетной записи, связанном с экземпляром службы.
  • Как клиентское приложение использует объект точки подключения службы (SCP) экземпляра службы в службах домен Active Directory для получения данных, из которых создается имя субъекта-службы для службы.
  • Как клиентское приложение использует имя субъекта-службы в сочетании с интерфейсом поставщика поддержки безопасности (SSPI) для проверки подлинности службы.
  • Пример кода для клиентского или служебного приложения Windows Sockets, использующего SCP и SSPI для выполнения взаимной проверки подлинности.
  • Пример кода для клиента или службы RPC, выполняющего взаимную проверку подлинности с помощью службы имен RPC и проверки подлинности RPC.
  • Как служба регистрации и разрешения сокетов Windows использует имена субъектов-служб для взаимной проверки подлинности.

В этом разделе рассматривается использование службы домен Active Directory для взаимной проверки подлинности, в частности, назначение точек подключения службы и имен субъектов-служб в взаимной проверке подлинности. Это не полное обсуждение использования SSPI для взаимной проверки подлинности или поддержки проверки подлинности и безопасности, доступной для приложений RPC и Сокетов Windows.

Дополнительные сведения см. в разделе: