Dela via

Ömsesidig autentisering med Kerberos

  • Artikel

Ömsesidig autentisering är en säkerhetsfunktion där en klientprocess måste bevisa sin identitet för en tjänst och tjänsten måste bevisa sin identitet för klienten innan någon programtrafik överförs via klient-/tjänstanslutningen.

Active Directory Domain Services och Windows ger stöd för tjänstens huvudnamn (SPN), som är en nyckelkomponent i Kerberos-mekanismen genom vilken en klient autentiserar en tjänst. Ett SPN är ett unikt namn som identifierar en instans av en tjänst och är associerad med inloggningskontot som tjänstinstansen körs under. Komponenterna i ett SPN är sådana att en klient kan skapa ett SPN för en tjänst utan tjänstinloggningskontot. Detta gör att klienten kan begära att tjänsten autentiserar sitt konto trots att klienten inte har kontonamnet.

Det här avsnittet innehåller en översikt över:

  • Ömsesidig autentisering med Kerberos.
  • Skapa ett unikt SPN.
  • Hur ett tjänstinstallationsprogram registrerar SPN på kontoobjektet som är associerat med en tjänstinstans.
  • Hur ett klientprogram använder en tjänstinstanss SCP-objekt (Service Connection Point) i Active Directory Domain Services för att hämta data från vilka ett SPN för tjänsten ska skapas.
  • Hur ett klientprogram använder ett tjänst-SPN tillsammans med SSPI (Security Support Provider Interface) för att autentisera tjänsten.
  • Ett kodexempel för en Windows Sockets-klient/tjänstapp som använder en SCP och SSPI för att utföra ömsesidig autentisering.
  • Ett kodexempel för en RPC-klient/tjänst som utför ömsesidig autentisering med hjälp av RPC-namntjänsten och RPC-autentisering.
  • Hur en RnR-tjänst (Windows Sockets Registration and Resolution) använder SPN för att utföra ömsesidig autentisering.

I det här avsnittet beskrivs användningen av Active Directory Domain Service för ömsesidig autentisering, särskilt syftet med tjänstanslutningspunkter och namn på tjänstens huvudnamn i ömsesidig autentisering. Det är inte en fullständig diskussion om hur du använder SSPI för ömsesidig autentisering eller det autentiserings- och säkerhetsstöd som är tillgängligt för RPC- och Windows Sockets-program.

Mer information finns i: