Windows 身份验证体系结构
适用对象:Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
本概述主题面向 IT 专业人员介绍了 Windows 身份验证的基本体系结构方案。
身份验证是依据系统会验证用户的登录者或登录信息的过程。 用户的用户名和密码进行比较的授权列表中,并且如果系统检测到匹配项,在该用户的权限列表中指定的范围内授予访问权限。
作为可扩展的体系结构的一部分,Windows Server 操作系统实现一组默认的身份验证安全支持提供程序其中包括协商、 Kerberos 协议、 NTLM、 Schannel (安全通道) 和摘要。 这些提供程序所使用的协议启用的用户、 计算机和服务的身份验证和身份验证过程使授权的用户和服务能够以安全的方式访问资源。
在 Windows Server 中,应用程序进行身份验证的用户使用 SSPI 抽象进行身份验证的调用。 因此,开发人员不需要了解特定的身份验证协议的复杂性或构建到其应用程序的身份验证协议。
Windows Server 操作系统包括一组构成 Windows 安全模型的安全组件。 这些组件确保应用程序无法获得对资源而无需身份验证和授权的访问。 以下各节介绍身份验证体系结构的元素。 智能卡身份验证所述Windows 智能卡技术参考。
本地安全机构
本地安全机构 (LSA) 是一个受保护的子系统进行身份验证并登录到本地计算机的用户。 此外,LSA 还维护有关所有方面的信息本地安全的计算机上 (这些方面统称为本地安全策略)。 它还提供了各种服务的名称和安全标识符 (Sid) 之间的转换。
跟踪的安全策略和计算机系统上的帐户的安全子系统。 对于域控制器,这些策略和帐户是指那些有效的域控制器所在的域。 这些策略和帐户存储在 Active Directory 中。 LSA 子系统提供了用于验证对对象的访问的服务,检查用户权限和生成的审核消息。
安全支持提供程序接口
安全支持提供程序接口 (SSPI) 是获取集成的安全性进行身份验证、 消息完整性、 消息隐私和安全的服务质量为任何分布式应用程序协议的服务的 API。
SSPI 是实现的通用安全服务 API (GSSAPI)。 SSPI 提供所依据的分布式应用程序可调用其中一个多个安全提供程序以获取不知情的情况下已经过身份验证的连接的安全协议的详细信息的机制。