estructura WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING (webservices.h)
Subtipo de enlace de seguridad para especificar el uso del protocolo de autenticación integrada de Windows (como Kerberos, NTLM o SPNEGO) con el transporte TCP. Se puede elegir un paquete SSP específico mediante la propiedad de enlace de seguridad WS_SECURITY_BINDING_PROPERTY_WINDOWS_INTEGRATED_AUTH_PACKAGE; si no se especifica esa propiedad, SPNEGO se usa de forma predeterminada. El uso de NTLM se desaconseja fuertemente debido a su debilidad de seguridad (en concreto, la falta de autenticación del servidor). Si se va a permitir NTLM, la propiedad de enlace de seguridad WS_SECURITY_BINDING_PROPERTY_REQUIRE_SERVER_AUTH debe establecerse en FALSE.
Este enlace de seguridad funciona en el nivel de seguridad de transporte y solo se admite con el WS_TCP_CHANNEL_BINDING. La combinación tcp/Windows SSPI usa el formulario de conexión definido por NegotiateStreamprotocol y la especificación de trama de mensajes de .Net.
En el lado cliente, la identidad de seguridad del servidor de destino se especifica mediante el campo de identidad del parámetro WS_ENDPOINT_ADDRESS proporcionado durante WsOpenChannel. Si la identidad es un WS_SPN_ENDPOINT_IDENTITY o un WS_UPN_ENDPOINT_IDENTITY, ese valor de identidad de cadena se usa directamente con el SSP. Si la identidad es un WS_DNS_ENDPOINT_IDENTITY y el valor de su campo dns es 'd1', o si no se especifica ninguna identidad en el WS_ENDPOINT_ADDRESS y el componente host (según la sección 3.2.2 de RFC2396), el URI de dirección es 'd1', el formulario 'host/d1' se usa como SPN del servidor. Si se especifica cualquier otro subtipo de WS_ENDPOINT_IDENTITY en WS_ENDPOINT_ADDRESS se producirá un error en WsOpenChannel .
Con este enlace de seguridad, se pueden especificar las siguientes propiedades de enlace de seguridad:
- WS_SECURITY_BINDING_PROPERTY_WINDOWS_INTEGRATED_AUTH_PACKAGE
- WS_SECURITY_BINDING_PROPERTY_REQUIRE_SERVER_AUTH (solo en el lado cliente)
- WS_SECURITY_BINDING_PROPERTY_ALLOW_ANONYMOUS_CLIENTS (solo en el lado servidor)
- WS_SECURITY_BINDING_PROPERTY_ALLOWED_IMPERSONATION_LEVEL (solo del lado cliente)
Sintaxis
typedef struct _WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING {
WS_SECURITY_BINDING binding;
WS_WINDOWS_INTEGRATED_AUTH_CREDENTIAL *clientCredential;
} WS_TCP_SSPI_TRANSPORT_SECURITY_BINDING;
Miembros
binding
Tipo base del que derivan este subtipo de enlace de seguridad y todos los demás subtipos de enlace de seguridad.
clientCredential
Credencial de autenticación integrada de Windows que se va a usar para autenticar el cliente. Esto es necesario en el cliente y no se debe especificar en el servidor.
Requisitos
Cliente mínimo compatible | Windows 7 [solo aplicaciones de escritorio] |
Servidor mínimo compatible | Windows Server 2008 R2 [solo aplicaciones de escritorio] |
Encabezado | webservices.h |