Поделиться через


NTLMSSP

NTLMSSP, идентификатор службы проверки подлинности которого RPC_C_AUTHN_WINNT, — это поставщик поддержки безопасности, доступный во всех версиях DCOM. Он использует протокол NTLM для проверки подлинности. NTLM никогда не передает пароль пользователя серверу во время проверки подлинности. Поэтому сервер не может использовать пароль во время олицетворения для доступа к сетевым ресурсам, к которым у пользователя будет доступ. Доступ к ним можно получить только локальным ресурсам.

NTLM работает как локально, так и на разных компьютерах. То есть, если клиент и сервер находятся на разных компьютерах, NTLM по-прежнему может убедиться, что клиент является тем, кто он утверждает.

При использовании NTLM удостоверение клиента представлено доменным именем, именем пользователя и паролем или маркером. Когда сервер вызывает CoQueryClientBlanket, возвращается доменное имя клиента и имя пользователя. Однако при вызове сервера CoImpersonateClient возвращается маркер клиента. Если отношения доверия между клиентом и сервером отсутствуют, а если у сервера есть локальная учетная запись с тем же именем и паролем, что и клиент, эта учетная запись будет использоваться для представления клиента.

NTLM поддерживает взаимную проверку подлинности между потоками и перекрестными процессами (только локально). Если клиент задает имя субъекта сервера в домене формы\user в вызове IClientSecurity::SetBlanket, удостоверение сервера должно соответствовать имени субъекта или вызов завершится ошибкой. Если клиент задает значение NULL, удостоверение сервера не будет проверка.

NTLM также поддерживает уровень олицетворения делегата между потоками и межпроцессными процессами (только локально).

ПАКЕТЫ COM и безопасности