NTLMSSP
NTLMSSP, dessen Authentifizierungsdienstbezeichner RPC_C_AUTHN_WINNT ist, ist ein Sicherheitssupportanbieter, der in allen Versionen von DCOM verfügbar ist. Es verwendet das NTLM-Protokoll für die Authentifizierung. NTLM überträgt während der Authentifizierung niemals das Kennwort des Benutzers an den Server. Daher kann der Server das Kennwort während des Identitätswechsels nicht verwenden, um auf Netzwerkressourcen zuzugreifen, auf die der Benutzer Zugriff hätte. Nur auf lokale Ressourcen kann zugegriffen werden.
NTLM funktioniert sowohl lokal als auch auf computernübergreifend. Das heißt, wenn sich der Client und der Server auf unterschiedlichen Computern befinden, kann NTLM dennoch sicherstellen, dass der Client die Person ist, die er sein möchte.
Bei NTLM wird die Identität des Clients durch einen Domänennamen, einen Benutzernamen und ein Kennwort oder ein Token dargestellt. Wenn ein Server CoQueryClientBlanketaufruft, werden der Domänenname und der Benutzername des Clients zurückgegeben. Wenn ein Server jedoch CoImpersonateClient-aufruft, wird das Token des Clients zurückgegeben. Wenn keine Vertrauensstellung zwischen Client und Server besteht und der Server über ein lokales Konto mit demselben Namen und Kennwort wie der Client verfügt, wird dieses Konto verwendet, um den Client darzustellen.
NTLM unterstützt threadübergreifende und prozessübergreifende Authentifizierung (nur lokal). Wenn der Client den Prinzipalnamen des Servers in der Formulardomäne\benutzer in einem Aufruf von IClientSecurity::SetBlanketangibt, muss die Identität des Servers mit diesem Prinzipalnamen übereinstimmen, oder der Aufruf schlägt fehl. Wenn der Client NULL-angibt, wird die Identität des Servers nicht überprüft.
NTLM unterstützt zusätzlich die Stellvertretungswechselebene cross-thread- und cross-process (nur lokal).
Verwandte Themen