NTLMSSP
NTLMSSP, dessen Authentifizierungsdienstbezeichner RPC _ C _ _ AUTHN WINNT lautet, ist ein Sicherheitsunterstützungsanbieter, der in allen Versionen von DCOM verfügbar ist. Für die Authentifizierung wird das NTLM-Protokoll verwendet. NTLM überträgt das Kennwort des Benutzers während der Authentifizierung nie an den Server. Daher kann der Server das Kennwort während des Identitätswechsels nicht für den Zugriff auf Netzwerkressourcen verwenden, auf die der Benutzer Zugriff hätte. Auf lokale Ressourcen kann nur zugegriffen werden.
NTLM funktioniert sowohl lokal als auch computerübergreifend. Wenn sich der Client und der Server also auf unterschiedlichen Computern befinden, kann NTLM weiterhin sicherstellen, dass der Client der client ist, der er sein soll.
Bei NTLM wird die Identität des Clients durch einen Domänennamen, einen Benutzernamen und ein Kennwort oder Token dargestellt. Wenn ein Server CoQueryClientBlanket aufruft,werden der Domänenname und der Benutzername des Clients zurückgegeben. Wenn jedoch ein Server CoImpersonateClient aufruft,wird das Token des Clients zurückgegeben. Wenn keine Vertrauensstellung zwischen Client und Server besteht und der Server über ein lokales Konto mit dem gleichen Namen und Kennwort wie der Client verfügt, wird dieses Konto verwendet, um den Client darzustellen.
NTLM unterstützt die thread- und prozessübergreifende gegenseitige Authentifizierung (nur lokal). Wenn der Client den Prinzipalnamen des Servers im \ Formulardomänenbenutzer in einem Aufruf von IClientSecurity::SetBlanketangibt, muss die Identität des Servers mit diesem Prinzipalnamen übereinstimmen, andernfalls schlägt der Aufruf fehl. Wenn der Client NULL angibt, wird die Identität des Servers nicht überprüft.
NTLM unterstützt darüber hinaus thread- und prozessübergreifend (nur lokal) die Delegatidentitätswechselebene.