NTLMSSP
認証サービス識別子がRPC_C_AUTHN_WINNTされている NTLMSSP は、すべてのバージョンの DCOM で使用できるセキュリティ サポート プロバイダーです。 認証には NTLM プロトコルが使用されます。 NTLM では、認証時にユーザーのパスワードがサーバーに実際に送信されることはありません。 そのため、ユーザーがアクセスできるネットワーク リソースにアクセスするために、偽装中にサーバーでパスワードを使用することはできません。 ローカル リソースにのみアクセスできます。
NTLM は、ローカルとコンピューター間の両方で機能します。 つまり、クライアントとサーバーが異なるコンピューター上にある場合でも、NTLM はクライアントがそのユーザーであることを確認できます。
NTLM では、クライアントの ID はドメイン名、ユーザー名、およびパスワードまたはトークンによって表されます。 サーバーが CoQueryClientBlanket呼び出すと、クライアントのドメイン名とユーザー名が返されます。 ただし、サーバーが CoImpersonateClient呼び出すと、クライアントのトークンが返されます。 クライアントとサーバーの間に信頼関係がなく、サーバーにクライアントと同じ名前とパスワードを持つローカル アカウントがある場合、そのアカウントがクライアントを表すために使用されます。
NTLM では、相互認証のクロススレッドとクロスプロセスがサポートされます (ローカルのみ)。 IClientSecurity::SetBlanketの呼び出しで、クライアントがドメイン\ユーザー形式のサーバーのプリンシパル名を指定した場合、サーバーの ID はそのプリンシパル名と一致する必要があります。そうしないと、呼び出しは失敗します。 クライアントが NULL 指定した場合、サーバーの ID はチェックされません。
NTLM では、委任偽装レベルのクロススレッドとクロスプロセスもサポートされます (ローカルのみ)。
関連トピック