структура WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING (webservices.h)
Подтип привязки безопасности для указания использования протокола встроенной проверки подлинности Windows (например, Kerberos, NTLM или SPNEGO) с транспортом TCP. Конкретный пакет поставщика общих служб можно выбрать с помощью свойства привязки безопасности WS_SECURITY_BINDING_PROPERTY_WINDOWS_INTEGRATED_AUTH_PACKAGE; Если это свойство не указано, по умолчанию используется SPNEGO. Использование NTLM настоятельно не рекомендуется из-за уязвимости системы безопасности (в частности, из-за отсутствия проверки подлинности сервера). Если требуется разрешить NTLM, свойство привязки безопасности WS_SECURITY_BINDING_PROPERTY_REQUIRE_SERVER_AUTH должно иметь значение FALSE.
Эта привязка безопасности работает на уровне безопасности транспорта и поддерживается только с WS_TCP_CHANNEL_BINDING. В сочетании TCP/Windows SSPI используется проводная форма, определенная в NegotiateStreamprotocol и спецификации кадрирования сообщений .NET.
На стороне клиента удостоверение безопасности целевого сервера указывается с помощью поля identity параметра WS_ENDPOINT_ADDRESS , предоставленного во время WsOpenChannel. Если удостоверение является WS_SPN_ENDPOINT_IDENTITY или WS_UPN_ENDPOINT_IDENTITY, это строковое значение удостоверения используется непосредственно с поставщиком общих служб. Если удостоверение является WS_DNS_ENDPOINT_IDENTITY и значением его поля DNS является "d1" или если в WS_ENDPOINT_ADDRESS и компоненте узла не указано удостоверение (в соответствии с разделом 3.2.2 RFC2396), URI адреса — "d1", то в качестве имени субъекта-службы сервера используется форма "host/d1". Указание любого другого подтипа WS_ENDPOINT_IDENTITY в WS_ENDPOINT_ADDRESS приведет к сбою WsOpenChannel .
При использовании этой привязки безопасности можно указать следующие свойства привязки безопасности:
- WS_SECURITY_BINDING_PROPERTY_WINDOWS_INTEGRATED_AUTH_PACKAGE
- WS_SECURITY_BINDING_PROPERTY_REQUIRE_SERVER_AUTH (только на стороне клиента)
- WS_SECURITY_BINDING_PROPERTY_ALLOW_ANONYMOUS_CLIENTS (только на стороне сервера)
- WS_SECURITY_BINDING_PROPERTY_ALLOWED_IMPERSONATION_LEVEL (только на стороне клиента)
Синтаксис
typedef struct _WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING {
WS_SECURITY_BINDING binding;
WS_WINDOWS_INTEGRATED_AUTH_CREDENTIAL *clientCredential;
} WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING;
Члены
binding
Базовый тип, от которого наследуются этот подтип привязки безопасности и все остальные подтипы привязки безопасности.
clientCredential
Учетные данные встроенной проверки подлинности Windows, которые будут использоваться для проверки подлинности клиента. Это необходимо на клиенте и не должно указываться на сервере.
Требования
| Минимальная версия клиента | Windows 7 [только классические приложения] |
| Минимальная версия сервера | Windows Server 2008 R2 [только классические приложения] |
| Верхняя часть | webservices.h |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по