Autenticazione reciproca tramite Kerberos

L'autenticazione reciproca è una funzionalità di sicurezza in cui un processo client deve dimostrare la propria identità a un servizio e il servizio deve dimostrare la propria identità al client, prima che qualsiasi traffico dell'applicazione venga trasmesso tramite la connessione client/servizio.

Dominio di Active Directory Servizi e Windows forniscono il supporto per i nomi dell'entità servizio (SPN), che sono un componente chiave nel meccanismo Kerberos tramite il quale un client autentica un servizio. Un nome SPN è un nome univoco che identifica un'istanza di un servizio ed è associato all'account di accesso in cui viene eseguita l'istanza del servizio. I componenti di un nome SPN sono tali che un client può comporre un nome SPN per un servizio senza l'account di accesso al servizio. Ciò consente al client di richiedere al servizio di autenticare il proprio account anche se il client non ha il nome dell'account.

Questa sezione include una panoramica di:

  • Autenticazione reciproca con Kerberos.
  • Composizione di un nome SPN univoco.
  • Come un programma di installazione del servizio registra i nomi SPN nell'oggetto account associato a un'istanza del servizio.
  • Come un'applicazione client usa un oggetto punto di connessione del servizio (SCP) di un'istanza del servizio in Dominio di Active Directory Services per recuperare i dati da cui comporre un nome SPN per il servizio.
  • Come un'applicazione client usa un nome SPN del servizio insieme all'interfaccia SSPI (Security Support Provider Interface) per autenticare il servizio.
  • Esempio di codice per un'applicazione client/servizio Windows Sockets che usa SCP e SSPI per eseguire l'autenticazione reciproca.
  • Esempio di codice per un client/servizio RPC che esegue l'autenticazione reciproca usando il servizio dei nomi RPC e l'autenticazione RPC.
  • Come un servizio RnR (Windows Sockets Registration and Resolution) usa i nomi SPN per eseguire l'autenticazione reciproca.

In questa sezione viene illustrato l'uso di Dominio di Active Directory Servizio per l'autenticazione reciproca, in particolare lo scopo dei punti di connessione del servizio e dei nomi delle entità servizio nell'autenticazione reciproca. Non è una discussione completa su come usare SSPI per l'autenticazione reciproca o il supporto di autenticazione e sicurezza disponibile per le applicazioni RPC e Windows Sockets.

Per altre informazioni, vedi: