ля DCOM, авторизованого RPC і будь-якого протоколу, використовує SSPI для забезпечення безпеки інформації, що передається по мережі. SSPI - це інтерфейс безпеки Win32, який існує в складі Windows NT, починаючи з версії 3.5. Він також підтримується в Windows 95/98. У SSPI застосовуються ті ж архітектурні концепції, що і в наборі програмних викликів загальних служб безпеки (Generic Security Services API, GSS-API), відповідних RFC 1964. SSPI дозволяє звільнити додатки від безпосередньої взаємодії з протоколами мережевої безпеки. У системах Windows 2000 і Windows Server 2003 реалізований Центр розповсюдження ключів Kerberos (Kerberos Key Distribution Center, KDC). На кожному контролері домену крім служби Active Directory є служба KDC, що виконується разом з Active Directory як процес в привілейованому режимі. Обидва процеси здійснюють управління життєво важливою інформацією, включаючи паролі облікових записів користувачів. Active Directory виконує автоматичну реплікацію службової інформації на всіх контролерах домену. Тому створювати нові облікові записи користувачів, налаштовувати членство користувачів в групах або перевстановлювати паролі можна на будь-якому контролері домену. Це означає, що в відміну від Windows NT 4,0, де змінити адміністративну інформацію можна було тільки на головному контролері домена (Primary Domain Controller, PDC) з подальшим оновленням доступних тільки для читання реплік на резервних контролерах домену (Backup Domain Controller, BDC), в доменах Active Directory можна змінювати будь-яку репліку каталогу, що зберігається на деякому контролері домену.
Клієнти та сервери використовують протокол Kerberos для взаємної аутентифікації. Запит Kerberos містить квиток сеансу і аутентифікатор, одержуваний у КDС і що дозволяє виключити можливість підміни квитка сеансу. Постачальник безпеки Kerberos на стороні клієнта інтегрується з локальним адміністратором безпеки, підтримуючим локальний кеш квитків. При ініціалізації клієнтом контексту безпеки постачальник безпеки Kerberos зчитує квиток сеансу, відповідний цільовий службі, або запитує новий квиток сеансу в КОС. Повідомлення запиту Kerberos, створеного постачальником безпеки Kerberos, відповідає форматам маркера механізму GSS KerbS, описаним у RFC 1964. Клієнти можуть аутентифицироваться для будь-якої служби домену або довіреної володіння, підтримуючого механізм GSS. Постачальник безпеки Kerberos може сприйняти запит Kerberos, який згенерований будь-яким клієнтом, що підтримує формати маркера в стандарті GSS, RFC 1964.
Такий рівень взаємодії дозволяє здійснювати підтримку традиційної аутентифікації Kerberos, заснованої на іменах, в многоплатфорних середовищах. Для імперсоналізаціі і управління доступом в рамках прийнятої моделі розподіленої безпеки системним службам доволі даних авторизації, що знаходяться у квитку сеансу. br/>
Протокол Kerberos і авторизація Windows Server 2003
Імперсоналізація Windows Server 2003 вимагає, щоб локальний адміністратор безпеки (LSA) сервера міг безпечно отримувати SID користувача і список ідентифікаторів безпеки членів груп. Ідентифікатори безпеки генеруються системою безпеки домену і використовуються в LSA при створенні маркерів доступу для імперсоналізаціі. Після створення з'єднання пов'язаний з ним потік імперсоналізірует зареєстрованим користувачем, після чого операційна система порівнює маркер доступу клієнта з ACL об'єкта, до якого користувач намагається отримати доступ. При аутентифікації NTLM ідентифікатори безпеки користувача та групи передаються за допомогою захищеного каналу Net Logon прямо з контролера домену або будь-якого довіреної домену. При використанні протоколу Kerberos ідентифікатори безпеки користувачів та груп передаються у складі даних авторизації квитка сеансу Kerberos. Дані авторизації, знаходяться в квитку Kerberos, отриманому з КDС, містять список ідентифікаторів безпеки користувачів і ідентифікаторів, що визначають членство в групах. Локальному адміністратору безпеки дані авторизації потрібні для підтримки імперсоналізаціі постачальника безпеки Kerberos.
Протокол Kerberos дозволяє звертатися до даних авторизації квитка Kerberos, які визначаються додатком. Вони повністю відповідають RFC 1510. Крім того, їх структура перетворена для зменшення проблем, що виникають при спільній роботі з іншими операційними системами.
При первісної реєстрації користувача в домені КDС поміщає в TGT дані авторизації, що включають ідентифікатори безпеки користувачів або груп домену облікових записів (account domain). Членство в групах також визначається при первісній реєстрації. Після цього КDС копіює дані авторизації з ТОЙ в квитки сеансу, застосовувані для аутентифікації серверів додатків. У мережі з кількома доменами КОС, керуючий запитами на отримання квитків сеансу, може додавати в дані авторизації додаткові групи цільового домену, до яким може належати користувач. У міру розвитку ОС Windows Server 2003 формат ...
