Windows 身份验证体系结构
本概述主题面向 IT 专业人员,它介绍了用于 Windows 身份验证的基本体系结构方案。
身份验证是系统验证用户登录名或登录信息的过程。 将用户的名称和密码与授权列表进行比较,如果系统检测到匹配项,则会向在该用户的权限列表中指定的范围授予访问权限。
Windows Server 操作系统是可扩展体系结构的一部分,它实现一组默认的身份验证安全支持提供程序,其中包括 Negotiate、Kerberos 协议、NTLM、Schannel(安全通道)和 Digest。 这些提供程序使用的协议能够对用户、计算机和服务进行身份验证,而身份验证过程也让授权的用户和服务能够安全地访问资源。
在 Windows Server 中,应用程序使用 SSPI 抽象调用身份验证,从而对用户进行身份验证。 因此,开发人员无需了解特定身份验证协议的复杂性,也不需要将身份验证协议构建到其应用程序中。
Windows Server 操作系统包括一组构成 Windows 安全模型的安全组件。 这些组件可确保在未经身份验证和授权的情况下,应用程序无法访问资源。 以下部分介绍身份验证体系结构的元素。
本地安全机构
本地安全机构 (LSA) 是一个受保护的子系统,用于对用户进行身份验证并将其登录到本地计算机。 此外,LSA 还维护计算机上本地安全各个方面的相关信息(这些方面统称为“本地安全策略”)。 它还提供各种服务,用于在名称和安全标识符 (SID) 之间转换。
安全子系统跟踪计算机系统上的安全策略和帐户。 对于域控制器,这些策略和帐户对域控制器所在的域有效。 这些策略和帐户存储在 Active Directory 中。 LSA 子系统提供了服务用来验证对象访问权限、检查用户权限和生成审核消息。
安全支持提供程序接口
安全支持提供程序接口 (SSPI) 是一个 API,它可获取集成的安全服务来确保任何分布式应用程序协议的身份验证、消息完整性、消息隐私和安全服务质量。
SSPI 是通用安全服务 API (GSSAPI) 的实现。 SSPI 提供了一种机制;通过它,分布式应用程序可调用众多安全提供程序中的一个来实现经过身份验证的连接,无需了解安全协议的详细信息。