Arkitektur för Windows-autentisering
Gäller för: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Det här ämnet översikt för IT-proffs beskrivs grundläggande arkitektur schemat för Windows-autentisering.
Autentisering är den process som systemet verifierar en användares inloggning eller logga in information. Användarens namn och lösenord jämförs med en auktoriserad lista och om systemet hittar en matchning beviljas åtkomst till den utsträckning som anges i listan för den aktuella användaren.
Som en del av en extensible arkitektur implementera operativsystemen Windows Server en standarduppsättning säkerhet support autentiseringsproviders, däribland anpassa, Kerberos-protokoll, NTLM, Schannel (säker kanal) och Digest. Protokoll som används av dessa leverantörer aktivera autentisering av användare, datorer och tjänster och autentiseringsprocessen ger auktoriserade användare och tjänster åtkomst till resurser på ett säkert sätt.
I Windows Server autentiseras program användare med hjälp av SSPI-Gränssnittet till abstrakt samtal för autentisering. Utvecklare måste alltså inte att förstå komplexitet specifika autentiseringsprotokoll eller skapa autentiseringsprotokoll i sina program.
Windows-serveroperativsystem innehåller en uppsättning säkerhetskomponenter som utgör Windows security modellen. Dessa komponenter garanterar att program inte kan få tillgång till resurser utan autentisering och auktorisering. I följande avsnitt beskrivs elementen för autentiseringsarkitekturen. Smart card authentication beskrivs i detWindows Smart Card Technical Reference.
Lokala säkerhetskontrollen
Local Security Authority (LSA) är ett skyddad undersystem som autentiserar och loggar in användare på den lokala datorn. Dessutom LSA information om alla aspekter av den lokala säkerheten på en dator (dessa aspekter kallas lokal säkerhetsprincip). Den omfattar också olika tjänster för översättning av namn och säkerhetsidentifierare (SID).
Hålla reda på säkerhetsundersystemet säkerhetsprinciper och konton som är på en dator. Om en domän är controller, dessa principer och konton de som gäller för den domän där domänkontrollanten finns. Dessa principer och konton lagras i Active Directory. Delsystemet LSA innehåller tjänster för att verifiera tillgång till objekt, kontrollera användarrättigheter och genererar granska meddelanden.
Security Support Provider-gränssnitt
Det stöd för gränssnittet SSPI (Security Provider) är API som hämtar integrerad säkerhetstjänster för autentisering, integritet, meddelande sekretess och säkerhet--Tjänstkvalitet för alla distribuerade program-protokoll.
SSPI är implementering av allmän säkerhet Service API (GSSAPI). SSPI är ett sätt som ett distribuerat program kan anropa en av flera säkerhet-providers för att erhålla en autentiserad anslutning utan vetskap information om säkerhetsprotokollet.