Autenticazione reciproca con Kerberos
L'autenticazione reciproca è una funzionalità di sicurezza in cui un processo client deve dimostrare la propria identità a un servizio e il servizio deve dimostrare la propria identità al client, prima che qualsiasi traffico dell'applicazione venga trasmesso tramite la connessione client/servizio.
Servizi di dominio Active Directory e Windows forniscono il supporto per i nomi delle entità servizio (SPN), che sono un componente chiave nel meccanismo Kerberos tramite il quale un client autentica un servizio. Un nome SPN è un nome univoco che identifica un'istanza di un servizio ed è associato all'account di accesso in cui viene eseguita l'istanza del servizio. I componenti di un SPN sono tali che un client può comporre un SPN per un servizio senza dover conoscere l'account di accesso del servizio. Ciò consente al client di richiedere al servizio di autenticare il proprio account anche se il client non ha il nome dell'account.
Questa sezione include una panoramica di:
- Autenticazione reciproca con Kerberos.
- Composizione di un identificativo SPN univoco.
- Come un programma di installazione del servizio registra gli SPN sull'oggetto account associato a un'istanza del servizio.
- Come un'applicazione client utilizza l'oggetto del punto di connessione del servizio (SCP) di un'istanza del servizio nei Servizi di dominio Active Directory per recuperare i dati da cui comporre un SPN per il servizio.
- Come un'applicazione client usa un nome SPN del servizio insieme all'interfaccia SSPI (Security Support Provider Interface) per autenticare il servizio.
- Esempio di codice per un'applicazione client/servizio Windows Sockets che usa SCP e SSPI per eseguire l'autenticazione reciproca.
- Esempio di codice per un client/servizio RPC che esegue l'autenticazione reciproca usando il servizio dei nomi RPC e l'autenticazione RPC.
- Come un servizio di Registrazione e Risoluzione dei Socket di Windows (RnR) utilizza gli SPN per eseguire l'autenticazione mutua.
Questa sezione illustra l'uso del servizio di dominio Active Directory per l'autenticazione reciproca, in particolare lo scopo dei punti di connessione del servizio e dei nomi delle entità servizio nell'autenticazione reciproca. Non è una discussione completa su come usare SSPI per l'autenticazione reciproca o il supporto di autenticazione e sicurezza disponibile per le applicazioni RPC e Windows Sockets.
Per altre informazioni, vedere: