SSPI assure les services d'authentification grâce à une autre API. Les applications client-serveur doivent authentifier le client vis-à -vis du serveur et parfois le serveur vis-à -vis du client. SSPI procure des avantages d'abstraction, analogues à l'interface CSP, aux applications client-serveur. La Figure 4 montre comment SSPI isole les applications des détails
Services d’authentification
des protocoles de sécurité du réseau,
réduit le code de niveau applicatif nécessaire pour supporter plusieurs protocoles
d’authentification, et supporte l’authentification basée sur les protocoles à
secret partagé ou à clé publique.
Quel que soit le protocole, l’authentification est basée sur des références stockées
dans AD. Les utilisateurs n’ont pas besoin d’avoir un compte NTLM et un compte
Kerberos. Les associations AD qui mappent les éléments d’un certificat au bon
objet utilisateur AD accomplissent une authentification basée sur la PKI. Les
applications peuvent utiliser SSPI directement ou par le biais d’un appel de procédure
distant (RPC) et de DCOM (Distributed Component Object Model). Un autre problème
d’authentification majeur est posé par le remplacement de NTLM. NTLM est le protocole
d’authentification vulnérable de NT 4.0 qui utilise des hachages de mots de passe
stockés dans la base SAM. Windows 2000 supportera toujours NTLM pour la compatibilité
avec NT.
En cas d’utilisation de systèmes Windows 2000 dans un groupe de travail, l’authentification
NTLM continuera à se servir des références stockées dans la SAM de NT. En revanche
la connexion d’un système NT à un serveur Windows 2000 dans un domaine AD n’appellera
pas la SAM. Windows 2000 validera la connexion par rapport aux hachages NTLM stockés
dans l’objet utilisateur AD.
Ce qui est important à retenir, c’est que si vous mettez à niveau vos systèmes
NT et que vous installez le nouveau client AD pour les systèmes Windows 9x, vous
pouvez supprimer l’authentification NTLM (risquée) de votre réseau, car Kerberos
est le protocole d’authentification par défaut de Windows 2000. Kerberos est plus
sûr que NTLM, c’est un standard du marché qui vous aidera à vous approcher du
single sign-on. Enfin Kerberos règle les problèmes posés par NTLM, en particulier
la lenteur et le manque de fonctions d’usurpation pour les applications de serveurs
multiniveaux. Pour plus d’informations, reportez vous aux autres articles sur
Kerberos déjà publiés dans nos colonnes.
Téléchargez gratuitement cette ressource
Guide de Services Cloud Managés
Accélérer votre transformation digitale, protéger et sécuriser vos environnements Cloud avec les offres de support, d'accompagnement et de services managés. Découvrez le TOP 3 des Services Managés pour accompagner la transformation de vos environnements Cloud, gagner en agilité et en sécurité dans un monde d'incertitudes.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Cohésion d’équipe & Collaboration numérique : un duo gagnant ?
- Cyber espionnage – Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive
- SEKOIA : de l’intelligence sur les menaces jusqu’à l’automatisation de la réponse !
- Les managers face à l’impact du télétravail
- A la découverte de Keda dans Kubernetes
