Поделиться через


Взаимная проверка подлинности с помощью Kerberos

Взаимная аутентификация — это функция безопасности, при которой процесс клиента должен доказать свою личность службе, а служба должна доказать свою личность клиенту, прежде чем трафик приложения начнет передаваться по подключению клиента и службы.

Доменные службы Active Directory и Windows обеспечивают поддержку основных имен служб (SPN), которые являются ключевым компонентом механизма Kerberos, с помощью которого клиент проходит проверку подлинности услуги. Имя SPN (субъекта-службы) — это уникальное имя, которое определяет экземпляр службы и связано с учетной записью входа, под которой выполняется данный экземпляр службы. Компоненты SPN таковы, что клиент может создать SPN для службы без учетной записи, используемой для входа в службу. Это позволяет клиенту запрашивать службу для проверки подлинности своей учетной записи, даже если у клиента нет имени учетной записи.

В этом разделе представлен обзор:

  • Взаимная проверка подлинности с помощью Kerberos.
  • Создание уникального SPN (имени субъекта-службы).
  • Как установщик службы регистрирует SPN (имена главных служб) в объекте учетной записи, связанном с экземпляром службы.
  • Как клиентское приложение использует объект точки подключения службы (SCP) экземпляра службы в доменных службах Active Directory для получения данных для составления SPN для службы.
  • Как клиентское приложение использует SPN службы в сочетании с интерфейсом поставщика поддержки безопасности (SSPI) для аутентификации службы.
  • Пример кода для клиентского или служебного приложения Windows Sockets, использующего SCP и SSPI для выполнения взаимной проверки подлинности.
  • Пример кода для клиента или службы RPC, выполняющего взаимную проверку подлинности с помощью службы имен RPC и проверки подлинности RPC.
  • Как служба регистрации и разрешения сокетов Windows использует имена принципалов-служб для взаимной проверки подлинности.

В этом разделе обсуждается использование доменной службы Active Directory для взаимной аутентификации, в частности, назначение точек подключения службы и имен главных служб при взаимной аутентификации. Это не исчерпывающее обсуждение использования SSPI для взаимной проверки подлинности или доступных средств аутентификации и безопасности для приложений RPC и приложений Сокетов Windows.

Дополнительные сведения см. в следующем разделе: