Compartilhar via


Níveis de representação

Se a representação for bem-sucedida, isso significa que o cliente concordou em permitir que o servidor seja o cliente em algum grau. Os diferentes graus de representação são chamados de níveis de representação e indicam quanta autoridade é dada ao servidor quando ele está se passando pelo cliente.

Atualmente, existem quatro níveis de representação: anônimo, identificar, personificar e delegar. A lista a seguir descreve brevemente cada nível de representação:

Anónimo (RPC_C_IMP_LEVEL_ANONYMOUS)

O cliente é anônimo ao servidor. O processo do servidor pode representar o cliente, mas o token de representação não contém nenhuma informação sobre o cliente. Esse nível só é suportado no transporte de comunicação entre processos local. Todos os outros transportes promovem silenciosamente este nível para identificar.

identificar (RPC_C_IMP_LEVEL_IDENTIFY)

O nível padrão do sistema. O servidor pode obter a identidade do cliente e o servidor pode representar o cliente para executar verificações de ACL.

personificar (RPC_C_IMP_LEVEL_IMPERSONATE)

O servidor pode representar o contexto de segurança do cliente ao atuar em nome do cliente. O servidor pode acessar recursos locais como o cliente. Se o servidor for local, ele poderá acessar recursos de rede como o cliente. Se o servidor for remoto, ele poderá acessar somente recursos que estejam no mesmo computador que o servidor.

delegado (RPC_C_IMP_LEVEL_DELEGATE)

O nível de representação mais avançado. Quando esse nível é selecionado, o servidor (local ou remoto) pode representar contexto de segurança do cliente ao atuar em nome do cliente. Durante a representação, as credenciais do cliente (local e de rede) podem ser passadas para qualquer número de computadores.

Para que a representação funcione no nível de delegado, os seguintes requisitos devem ser atendidos:

  • O cliente deve definir o nível de representação como RPC_C_IMP_LEVEL_DELEGATE.
  • A conta de cliente não deve ser marcada como "A conta é confidencial e não pode ser delegada" no Serviço Active Directory.
  • A conta do servidor deve ser marcada com o atributo "Confiável para delegação" no Serviço Active Directory.
  • Os computadores que hospedam o cliente, o servidor e quaisquer servidores "downstream" devem estar todos em execução em um domínio.

Ao escolher o nível de representação, o cliente informa ao servidor até onde ele pode ir na representação do cliente. O cliente define o nível de representação no proxy que usa para se comunicar com o servidor.

Definindo o nível de representação

Há duas maneiras de definir o nível de representação:

Você define o nível de representação passando um valor de RPC_C_IMP_LEVEL_xxx apropriado para CoInitializeSecurity ou CoSetProxyBlanket por meio do parâmetro dwImpLevel.

Diferentes serviços de autenticação oferecem suporte à representação em nível de delegado em diferentes extensões. Por exemplo, o NTLMSSP oferece suporte à representação em nível de delegado entre threads e processos cruzados, mas não entre computadores. Por outro lado, o protocolo Kerberos oferece suporte à representação em nível de delegado através dos limites do computador, enquanto o Schannel não oferece suporte a nenhuma representação no nível de delegado. Se você tiver um proxy no nível de representação e quiser definir o nível de representação para delegar, chame SetBlanket usando as constantes padrão para cada parâmetro, exceto o nível de representação. COM escolherá NTLM localmente e o protocolo Kerberos remotamente (quando o protocolo Kerberos funcionará).

Delegação e representação