Megosztás a következőn keresztül:

Egyszerű nevek

  • Cikk

Ahhoz, hogy egy ügyfél kölcsönösen hitelesített munkamenetet hozzon létre egy kiszolgálóprogrammal, meg kell adnia a kiszolgáló várt egyszerű nevét. Egyes protokollok, például a Kerberos, minden hitelesített munkamenethez megfelelő kiszolgálónévre van szükség. A rendszerbiztonsági rendszer által felismert entitás. Ebbe beletartoznak az emberi felhasználók és a rendszerszolgáltatások is. Minden egyszerű név hasonló formátumú egy adott biztonsági támogatási szolgáltatóhoz (SSP). Az SSP egy szoftvermodul, amely biztonsági ellenőrzést végez. További információ: SSPI Architektúra áttekintése. Az egységesség fenntartása érdekében a biztonsági szolgáltató általában hasonló neveket ad a rendszerszolgáltatásoknak, mint a felhasználók. Egyes biztonsági szolgáltatóknál előfordulhat, hogy a rendszerszolgáltatások nem rendelkeznek egyszerű névvel.

A kiszolgáló az RpcServerRegisterAuthInfo függvény használatával regisztrálja a biztonsági szolgáltató egyszerű nevét. Minden egyes biztonsági szolgáltatóhoz csak egy kiszolgálónév használható. Ha egynél több név van regisztrálva, a rendszer véletlenszerűen választ ki és használ egy nevet. Az SSP határozza meg az egyszerű név formátumát. Egy rendszerszolgáltatás Kerberos/Negotiate SSP-jei például a következőképpen néznek ki: machine_name$@childdomain.parentdomain1.parentdomain2.COM.

Az egyszerű nevek létrehozásának ajánlott eljárása a dokumentált API-k használata (például a DsMakeSpn függvény), ahelyett, hogy sztringekből összeadná az egyszerű nevet. A dokumentált API-k használata növeli a különböző üzembehelyezési környezetek hordozhatóságát, és kiküszöböli a hibák lehetőségét.

Helytelen egyszerű név megadása megakadályozhatja, hogy az ügyfél és a kiszolgáló hitelesített munkamenetet hozzon létre. Az SCHANNEL SSP két formában veszi fel az egyszerű neveket:

  • Az első SCHANNEL egyszerű névűrlap az msstd űrlap. Az msstd formátumú nevek általában az msstd mintát követik:servername@serverdomain.com. Ezt e-mail-név tulajdonságnak nevezzük. Ha a tanúsítvány tartalmaz egy e-mail-név tulajdonságot, és tartalmazza a at sign (@) értéket, az egyszerű név msstd:e-mail név. Ellenkező esetben a köznapi név tulajdonságot kell tartalmaznia. A belső fordított perjelek duplázódnak, ugyanúgy, mint a sztringkötésekben.
  • A második SCHANNEL egyszerű névűrlap a teljes űrlap. Ez a RFC1779-kompatibilis nevek sorozata szögletes zárójelekkel határolt és fordított perjelekkel elválasztva. Általában a fullsic:\<\Authority\SubAuthority\.....\Person> vagy fullsic:\<\Authority\SubAuthority\.....\ServerProgram>.

Ha a név nem egyezik a tanúsítvány nevével, ERROR_ACCESS_DENIED lesz visszaadva. Ha a névformátum érvénytelen, az SCHANNEL SSP a ERROR_INVALID_PARAMETER kódot adja vissza.

A kiszolgáló egyszerű nevének lekérdezéséhez az alkalmazások meghívhatják RpcMgmtInqServerPrincName. Ez egy null értékű sztringet foglal le az egyszerű név tárolásához. A leállása előtt az alkalmazásnak meg kell hívnia RpcStringFree, hogy felszabadítsa a sztring által foglalt memóriát.

A kiszolgáló nevének lekérdezése nem biztonságos, ezért kerülni kell. A kiszolgálóhitelesítéshez az ügyfélprogramnak tudnia kell, hogy melyik kiszolgálóhoz csatlakozik, és az alapoktól kezdve létre kell hoznia a kiszolgálónevet.