GSSAPIとの比較
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/03/26 00:50 UTC 版)
「Security Support Provider Interface」の記事における「GSSAPIとの比較」の解説
SSPIは、GSSAPI(英語版)のプロプライエタリな変種であり、Windows独自のデータタイプや拡張が追加されている。 Windows NT 3.51およびWindows 95におけるNTLMSSPがその始まりであり、Windows 2000では、ケルベロス認証 (RFC 1964) が追加された。SSPIでのケルベロス認証で用いられるトークンはGSSAPIのものとほぼ互換性があり、WindowsのSSPIクライアントはWindows以外のGSSAPIクライアントと相互に認証を行うことが可能である。 IETFによって定義されたGSSAPIとWindowsのSSPIの間には、アクセストークンの "impersonation" に関して大きな違いが存在する。このモデルでは、クライアントが「完全な」特権を持っていれば、サーバはその特権により操作を行うことが可能である。すなわち、サービスアカウントの特権レベルは接続/認証されたクライアントに依存する。GSSAPIモデルでは、サーバがサービスアカウントで実行されている場合、アカウントの特権を上昇させることができず、すべてのアクセス制御を有効にする必要がある。このようなセキュリティ上問題のある実装は、WindowsのSSPIではVista以降で解消されている。
※この「GSSAPIとの比較」の解説は、「Security Support Provider Interface」の解説の一部です。
「GSSAPIとの比較」を含む「Security Support Provider Interface」の記事については、「Security Support Provider Interface」の概要を参照ください。
- GSSAPIとの比較のページへのリンク
