使用安全性套件
安全性支援提供者介面 (SSPI) 可以搭配下列安全性套件使用:
Kerberos和 NTLM 通訊協定會實作為Secur32.dll安全性支援提供者的安全性套件, (作業系統提供的 SSP) 。 根據預設,本機 安全性授權單位 會在系統啟動時,在電腦上載入 Kerberos 和 NTLM 驗證的支援 (LSA) 。 在 Windows Server 或 Windows 網域中,任一套件都可以用來驗證網路登入和用戶端/伺服器連線。 使用哪一個取決於連線另一端的電腦功能。 如果有的話,一律偏好使用 Kerberos 通訊協定。
建立互動式使用者的安全性內容之後,可在使用者的安全性內容中執行的進程載入另一個 Kerberos 或 NTLM 套件實例,以支援交換、簽署、驗證、加密和解密訊息。 不過,LSA 以外的任何程式都不允許存取認證快取中的 工作階段金鑰 或票證。
系統服務和傳輸層級應用程式會透過 SSPI 存取 SSP,其提供功能來列舉系統上可用的安全性套件、選取套件,以及使用該套件取得已驗證的連線。
SSPI 中的方法是開發人員可以在不知道特定 安全性通訊協定詳細資料的情況下使用的一般常式。 例如,當用戶端/伺服器連線經過驗證時:
- 連線用戶端上的應用程式會使用 SSPI 函式InitializeSecurityCoNtext (General) 將認證傳送至伺服器。
- 連線伺服器端的應用程式會以 SSPI 函式 AcceptSecurityCoNtext (General) 回應。
- 驗證連線之後,伺服器上的 LSA 會使用來自用戶端的資訊來建置 存取權杖。
- 接著,伺服器可以呼叫 SSPI 函式 ImpersonateSecurityCoNtext ,將存取權杖附加至服務的模擬執行緒。
Kerberos 安全性套件
Kerberos 安全性套件 是以 Kerberos 驗證通訊協定為基礎。
如果使用 Kerberos 通訊協定來驗證用戶端/伺服器連線, InitializeSecurityCoNtext (Kerberos) 會產生 GSSAPI 訊息,其中包含來自用戶端的KRB_AP_REQ訊息。 AcceptSecurityCoNtext (Kerberos) 然後產生 GSSAPI 訊息,其中包含來自伺服器的KRB_AP_REP訊息。
如需 Kerberos 通訊協定實作幕後步驟的背景資訊,請參閱 Microsoft Kerberos。
所有分散式服務都會使用 SSPI 來存取 Kerberos 通訊協定。 Kerberos 通訊協定用於驗證的部分方式清單包括:
- 列印多工緩衝處理服務
- CIFS/SMB 遠端檔案存取
- 對 Active Directory 的 LDAP 查詢
- 分散式檔案系統管理和轉介
- IPsec 主機對主機安全性授權單位驗證
- 網路服務品質的保留要求
- Internet Information Services 的內部網路驗證
- 使用已驗證 RPC 的遠端伺服器或工作站管理
- 網域使用者和電腦的憑證服務憑證要求
NTLM 安全性套件
NTLM 安全性套件是以 NTLM 驗證通訊協定為基礎。