Взаимная проверка подлинности с помощью Kerberos
Взаимная аутентификация — это функция безопасности, при которой процесс клиента должен доказать свою личность службе, а служба должна доказать свою личность клиенту, прежде чем трафик приложения начнет передаваться по подключению клиента и службы.
Доменные службы Active Directory и Windows обеспечивают поддержку основных имен служб (SPN), которые являются ключевым компонентом механизма Kerberos, с помощью которого клиент проходит проверку подлинности услуги. Имя SPN (субъекта-службы) — это уникальное имя, которое определяет экземпляр службы и связано с учетной записью входа, под которой выполняется данный экземпляр службы. Компоненты SPN таковы, что клиент может создать SPN для службы без учетной записи, используемой для входа в службу. Это позволяет клиенту запрашивать службу для проверки подлинности своей учетной записи, даже если у клиента нет имени учетной записи.
В этом разделе представлен обзор:
- Взаимная проверка подлинности с помощью Kerberos.
- Создание уникального SPN (имени субъекта-службы).
- Как установщик службы регистрирует SPN (имена главных служб) в объекте учетной записи, связанном с экземпляром службы.
- Как клиентское приложение использует объект точки подключения службы (SCP) экземпляра службы в доменных службах Active Directory для получения данных для составления SPN для службы.
- Как клиентское приложение использует SPN службы в сочетании с интерфейсом поставщика поддержки безопасности (SSPI) для аутентификации службы.
- Пример кода для клиентского или служебного приложения Windows Sockets, использующего SCP и SSPI для выполнения взаимной проверки подлинности.
- Пример кода для клиента или службы RPC, выполняющего взаимную проверку подлинности с помощью службы имен RPC и проверки подлинности RPC.
- Как служба регистрации и разрешения сокетов Windows использует имена принципалов-служб для взаимной проверки подлинности.
В этом разделе обсуждается использование доменной службы Active Directory для взаимной аутентификации, в частности, назначение точек подключения службы и имен главных служб при взаимной аутентификации. Это не исчерпывающее обсуждение использования SSPI для взаимной проверки подлинности или доступных средств аутентификации и безопасности для приложений RPC и приложений Сокетов Windows.
Дополнительные сведения см. в следующем разделе: