SSPI assure les services d'authentification grâce à une autre API. Les applications client-serveur doivent authentifier le client vis-à -vis du serveur et parfois le serveur vis-à -vis du client. SSPI procure des avantages d'abstraction, analogues à l'interface CSP, aux applications client-serveur. La Figure 4 montre comment SSPI isole les applications des détails
Services d’authentification
des protocoles de sécurité du réseau,
réduit le code de niveau applicatif nécessaire pour supporter plusieurs protocoles
d’authentification, et supporte l’authentification basée sur les protocoles à
secret partagé ou à clé publique.
Quel que soit le protocole, l’authentification est basée sur des références stockées
dans AD. Les utilisateurs n’ont pas besoin d’avoir un compte NTLM et un compte
Kerberos. Les associations AD qui mappent les éléments d’un certificat au bon
objet utilisateur AD accomplissent une authentification basée sur la PKI. Les
applications peuvent utiliser SSPI directement ou par le biais d’un appel de procédure
distant (RPC) et de DCOM (Distributed Component Object Model). Un autre problème
d’authentification majeur est posé par le remplacement de NTLM. NTLM est le protocole
d’authentification vulnérable de NT 4.0 qui utilise des hachages de mots de passe
stockés dans la base SAM. Windows 2000 supportera toujours NTLM pour la compatibilité
avec NT.
En cas d’utilisation de systèmes Windows 2000 dans un groupe de travail, l’authentification
NTLM continuera à se servir des références stockées dans la SAM de NT. En revanche
la connexion d’un système NT à un serveur Windows 2000 dans un domaine AD n’appellera
pas la SAM. Windows 2000 validera la connexion par rapport aux hachages NTLM stockés
dans l’objet utilisateur AD.
Ce qui est important à retenir, c’est que si vous mettez à niveau vos systèmes
NT et que vous installez le nouveau client AD pour les systèmes Windows 9x, vous
pouvez supprimer l’authentification NTLM (risquée) de votre réseau, car Kerberos
est le protocole d’authentification par défaut de Windows 2000. Kerberos est plus
sûr que NTLM, c’est un standard du marché qui vous aidera à vous approcher du
single sign-on. Enfin Kerberos règle les problèmes posés par NTLM, en particulier
la lenteur et le manque de fonctions d’usurpation pour les applications de serveurs
multiniveaux. Pour plus d’informations, reportez vous aux autres articles sur
Kerberos déjà publiés dans nos colonnes.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Activer la mise en veille prolongée dans Windows 10
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- IBM i célèbre ses 25 ans
- Cybersécurité Active Directory et les attaques de nouvelle génération
