Freigeben über


Gegenseitige Authentifizierung mithilfe von Kerberos

Die gegenseitige Authentifizierung ist ein Sicherheitsfeature, bei dem ein Clientprozess seine Identität gegenüber einem Dienst nachweisen muss und der Dienst seine Identität gegenüber dem Client nachweisen muss, bevor Anwendungsdatenverkehr über die Client-/Dienstverbindung übertragen wird.

Active Directory Domain Services und Windows bieten Unterstützung für Dienstprinzipalnamen (Service Principal Names, SPN), die eine Schlüsselkomponente im Kerberos-Mechanismus sind, mit dem ein Client einen Dienst authentifiziert. Ein SPN ist ein eindeutiger Name, der eine instance eines Diensts identifiziert und dem Anmeldekonto zugeordnet ist, unter dem der Dienst instance ausgeführt wird. Die Komponenten eines SPN sind so, dass ein Client einen SPN für einen Dienst ohne das Dienstanmeldungskonto erstellen kann. Dadurch kann der Client den Dienst zur Authentifizierung seines Kontos anfordern, obwohl der Client nicht über den Kontonamen verfügt.

Dieser Abschnitt enthält eine Übersicht über Folgendes:

  • Gegenseitige Authentifizierung mithilfe von Kerberos.
  • Erstellen eines eindeutigen SPN
  • Wie ein Dienstinstallationsprogramm SPNs für das Kontoobjekt registriert, das einem Dienst instance zugeordnet ist.
  • Wie eine Clientanwendung das Dienstverbindungspunktobjekt (Service Connection Point, SCP) eines Diensts instance in Active Directory Domain Services verwendet, um Daten abzurufen, aus denen ein SPN für den Dienst erstellt werden soll.
  • Wie eine Clientanwendung einen Dienst-SPN in Verbindung mit der Security Support Provider Interface (SSPI) verwendet, um den Dienst zu authentifizieren.
  • Ein Codebeispiel für eine Windows Sockets-Client-/-Dienstanwendung, die eine SCP- und SSPI-Instanz zum Ausführen einer gegenseitigen Authentifizierung verwendet.
  • Ein Codebeispiel für einen RPC-Client/-Dienst, der die gegenseitige Authentifizierung mithilfe des RPC-Namensdiensts und der RPC-Authentifizierung durchführt.
  • Wie ein RnR-Dienst (Windows Sockets Registration and Resolution) SPNs verwendet, um die gegenseitige Authentifizierung durchzuführen.

In diesem Abschnitt wird die Verwendung Active Directory-Domäne Diensts für die gegenseitige Authentifizierung erläutert, insbesondere der Zweck von Dienstverbindungspunkten und Dienstprinzipalnamen bei der gegenseitigen Authentifizierung. Es ist keine vollständige Erläuterung der Verwendung von SSPI für die gegenseitige Authentifizierung oder die Authentifizierungs- und Sicherheitsunterstützung, die für RPC- und Windows Sockets-Anwendungen verfügbar ist.

Weitere Informationen finden Sie unter