Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här översiktsavsnittet för IT-proffs förklarar det grundläggande arkitekturschemat för Windows-autentisering.
Autentisering är den process genom vilken systemet validerar en användares inloggningsinformation eller inloggningsinformation. En användares namn och lösenord jämförs med en auktoriserad lista, och om systemet identifierar en matchning beviljas åtkomst i den utsträckning som anges i behörighetslistan för användaren.
Som en del av en utökningsbar arkitektur implementerar Windows Server-operativsystemen en standarduppsättning autentiseringssäkerhetssupportleverantörer, däribland Negotiate, Kerberos-protokollet, NTLM, Schannel (säker kanal) och Digest. De protokoll som används av dessa leverantörer möjliggör autentisering av användare, datorer och tjänster, och autentiseringsprocessen gör det möjligt för behöriga användare och tjänster att få åtkomst till resurser på ett säkert sätt.
I Windows Server autentiserar program användare med hjälp av SSPI för att abstrahera anrop för autentisering. Utvecklare behöver därför inte förstå komplexiteten i specifika autentiseringsprotokoll eller skapa autentiseringsprotokoll i sina program.
Windows Server-operativsystem innehåller en uppsättning säkerhetskomponenter som utgör Windows-säkerhetsmodellen. Dessa komponenter säkerställer att program inte kan få åtkomst till resurser utan autentisering och auktorisering. I följande avsnitt beskrivs elementen i autentiseringsarkitekturen.
Lokal säkerhetsmyndighet
Den lokala säkerhetsmyndigheten (LSA) är ett skyddat undersystem som autentiserar och loggar in användare på den lokala datorn. Dessutom underhåller LSA information om alla aspekter av lokal säkerhet på en dator (dessa aspekter kallas gemensamt för den lokala säkerhetsprincipen). Det tillhandahåller också olika tjänster för översättning mellan namn och säkerhetsidentifierare (SID).
Säkerhetsundersystemet håller reda på säkerhetsprinciperna och kontona som finns i ett datorsystem. När det gäller en domänkontrollant är dessa principer och konton de som gäller för domänen där domänkontrollanten finns. Dessa principer och konton lagras i Active Directory. LSA-undersystemet tillhandahåller tjänster för validering av åtkomst till objekt, kontroll av användarrättigheter och generering av granskningsmeddelanden.
Gränssnitt för säkerhetssupportprovider
SSPI (Security Support Provider Interface) är det API som hämtar integrerade säkerhetstjänster för autentisering, meddelandeintegritet, meddelandesekretess och säkerhetskvalitet för alla distribuerade programprotokoll.
SSPI är implementeringen av GSSAPI (Generic Security Service API). SSPI tillhandahåller en mekanism genom vilken ett distribuerat program kan anropa en av flera säkerhetsleverantörer för att få en autentiserad anslutning utan att känna till detaljerna i säkerhetsprotokollet.