> Tech > Services d’authentification

Services d’authentification

Tech - Par iTPro - Publié le 24 juin 2010
email

SSPI assure les services d'authentification grâce à  une autre API. Les applications client-serveur doivent authentifier le client vis-à -vis du serveur et parfois le serveur vis-à -vis du client. SSPI procure des avantages d'abstraction, analogues à  l'interface CSP, aux applications client-serveur. La Figure 4 montre comment SSPI isole les applications des détails

des protocoles de sécurité du réseau,
réduit le code de niveau applicatif nécessaire pour supporter plusieurs protocoles
d’authentification, et supporte l’authentification basée sur les protocoles à 
secret partagé ou à  clé publique.

Quel que soit le protocole, l’authentification est basée sur des références stockées
dans AD. Les utilisateurs n’ont pas besoin d’avoir un compte NTLM et un compte
Kerberos. Les associations AD qui mappent les éléments d’un certificat au bon
objet utilisateur AD accomplissent une authentification basée sur la PKI. Les
applications peuvent utiliser SSPI directement ou par le biais d’un appel de procédure
distant (RPC) et de DCOM (Distributed Component Object Model). Un autre problème
d’authentification majeur est posé par le remplacement de NTLM. NTLM est le protocole
d’authentification vulnérable de NT 4.0 qui utilise des hachages de mots de passe
stockés dans la base SAM. Windows 2000 supportera toujours NTLM pour la compatibilité
avec NT.
En cas d’utilisation de systèmes Windows 2000 dans un groupe de travail, l’authentification
NTLM continuera à  se servir des références stockées dans la SAM de NT. En revanche
la connexion d’un système NT à  un serveur Windows 2000 dans un domaine AD n’appellera
pas la SAM. Windows 2000 validera la connexion par rapport aux hachages NTLM stockés
dans l’objet utilisateur AD.

Ce qui est important à  retenir, c’est que si vous mettez à  niveau vos systèmes
NT et que vous installez le nouveau client AD pour les systèmes Windows 9x, vous
pouvez supprimer l’authentification NTLM (risquée) de votre réseau, car Kerberos
est le protocole d’authentification par défaut de Windows 2000. Kerberos est plus
sûr que NTLM, c’est un standard du marché qui vous aidera à  vous approcher du
single sign-on. Enfin Kerberos règle les problèmes posés par NTLM, en particulier
la lenteur et le manque de fonctions d’usurpation pour les applications de serveurs
multiniveaux. Pour plus d’informations, reportez vous aux autres articles sur
Kerberos déjà  publiés dans nos colonnes.

Téléchargez gratuitement cette ressource

*** SMART DSI *** VERSION NUMÉRIQUE

*** SMART DSI *** VERSION NUMÉRIQUE

Découvrez SMART DSI, la nouvelle revue du Décideur IT en version numérique. Analyses et dossiers experts pour les acteurs de la transformation numérique de l'entreprise, Gagnez en compétences et expertise IT Professionnelle avec le contenu éditorial premium de SMART DSI.

Tech - Par iTPro - Publié le 24 juin 2010