wird von
Erweiterter Schutz ist ein Mechanismus zum Binden eines äußeren sicheren Kanals wie SSL an Authentifizierungsprotokolle des inneren Kanals wie Kerberos-APREQ und HTTP-Headerauthentifizierung.
Das Konzept des erweiterten Schutzes ist in RFC2743 definiert.
Erweiterter Schutz wird, falls verfügbar, automatisch auf dem Client konfiguriert, erfordert jedoch möglicherweise eine Konfiguration auf dem Server für nicht standardmäßige Szenarien.
Unterstützte Konfigurationen
Erweiterter Schutz wird unterstützt, wenn WS _ HTTP CHANNEL _ _ BINDING mit Sicherheitsbindungen mithilfe von Windows Integrated Authentication-Protokollen wie WS HTTP HEADER _ _ _ AUTH SECURITY _ _ BINDING und WS KERBEROS _ _ APREQ MESSAGE SECURITY BINDING verwendet _ _ _ wird. Sie wird über die folgenden Sicherheitseigenschaften konfiguriert:
- ERWEITERTE _ _ SCHUTZRICHTLINIE FÜR _ WS-SICHERHEITSEIGENSCHAFT _ _
- SZENARIO FÜR ERWEITERTEN _ SCHUTZ DER WS-SICHERHEITSEIGENSCHAFT _ _ _ _
- _ _ _ WS-SICHERHEITSEIGENSCHAFTSDIENSTIDENTITÄTEN _
Die folgenden Konfigurationen mit erweitertem Schutz sind möglich:
Client
- WS _ SSL _ TRANSPORT _ SECURITY _ BINDING wird mit WS KERBEROS _ _ APREQ _ MESSAGE SECURITY _ _ BINDING oder WS HTTP HEADER _ _ _ AUTH SECURITY BINDING _ _ VERWENDET. In dieser Konfiguration wird die Authentifizierungsbindung über ein erweitertes Schutztoken, das automatisch aus der SSL-Verbindung extrahiert wird, an die SSL-Verbindung gebunden.
- Es wird kein SSL verwendet, und WS _ HTTP HEADER _ _ AUTH SECURITY _ _ BINDING ist festgelegt. Die Authentifizierungsbindung wird über den Serverprinzipalnamen (SPN) gebunden, der automatisch von der _ WS-ENDPUNKTADRESSE _ bestimmt wird.
Server
- WS _ SSL _ TRANSPORT _ SECURITY _ BINDING wird mit WS KERBEROS _ _ APREQ _ MESSAGE SECURITY _ _ BINDING oder WS HTTP HEADER _ _ _ AUTH SECURITY BINDING _ _ VERWENDET. In dieser Konfiguration wird die Authentifizierungsbindung über ein erweitertes Schutztoken an die SSL-Verbindung gebunden, das aus der SSL-Verbindung extrahiert und automatisch überprüft wird.
- Es wird kein SSL verwendet, und WS _ HTTP HEADER _ _ AUTH SECURITY _ _ BINDING ist festgelegt. Die Authentifizierungsbindung wird über den Serverprinzipalnamen (SPN) gebunden, der über WS _ SECURITY PROPERTY SERVICE _ _ _ IDENTITIES bereitgestellt werden muss. Wenn eine Nachricht empfangen wird, wird der SPN extrahiert und auf eine genaue Übereinstimmung mit den angegebenen Dienstnamen überprüft. Das Bereitstellen von SPNs entspricht dem Festlegen von WS _ EXTENDED PROTECTION POLICY _ _ _ NEVER.
- Es wird kein SSL verwendet, WS _ EXTENDED PROTECTION SCENARIO BOUND _ _ _ _ SERVER wird angegeben, und WS KERBEROS _ _ APREQ _ MESSAGE SECURITY _ _ BINDING wird verwendet. In dieser Konfiguration darf WS _ SECURITY PROPERTY _ SERVICE _ _ IDENTITIES nicht festgelegt werden. Es wird keine SPN-Überprüfung durchgeführt, die über das hinaus geht, was als Teil des Kerberos-Protokolls erfolgt.
- WS _ EXTENDED _ PROTECTION SCENARIO TERMINATED _ _ _ SSL wird angegeben, und es wird entweder WS KERBEROS _ _ APREQ _ MESSAGE SECURITY _ _ BINDING oder WS HTTP HEADER _ _ _ AUTH SECURITY _ _ BINDING verwendet. WS _ SECURITY _ PROPERTY _ SERVICE _ IDENTITIES muss festgelegt werden.
Unterstützte Plattformen
Erweiterter Schutz wird auf Plattformen mit Unterstützung für ihn im Betriebssystem unterstützt. Windows 7 und Windows Server 2008 R2 bieten integrierte Unterstützung. Andere Plattformen erfordern möglicherweise ein Update.
Wenn das Betriebssystem des Servers keine solche Unterstützung bietet, werden alle vom Client gesendeten erweiterten Schutzinformationen ignoriert. Daher können Clients, die erweiterten Schutz verwenden, mit einem solchen Server kommunizieren, aber der Sicherheitsvorteil geht verloren. Auf dem Client unterstützt die WS _ KERBEROS _ APREQ _ MESSAGE SECURITY _ _ BINDING in Kombination mit WS SSL TRANSPORT SECURITY _ _ _ _ BINDING nur erweiterten Schutz unter Vista und höher.
HINWEIS: Wenn der erweiterte Schutz nicht verfügbar ist, wird die Verwendung einer bestimmten Konfiguration nicht verhindert.
Interoperabilität
Ein standardmäßig konfigurierter Server kann mit SOAP-Clients kommunizieren, unabhängig davon, ob sie erweiterten Schutz verwenden oder nicht. Die einzige Ausnahme sind Windows XP- und Windows Server 2003 WWSAPI-Clients, die aktualisiert wurden, um erweiterten Schutz zu unterstützen und sowohl WS _ KERBEROS _ APREQ _ MESSAGE SECURITY _ _ BINDING als auch WS SSL TRANSPORT SECURITY BINDING zu _ _ _ _ verwenden. Zur Unterstützung solcher Clients muss WS _ EXTENDED PROTECTION _ POLICY _ _ NIE vom Server angegeben werden. Server, die mit WS _ EXTENDED PROTECTION POLICY konfiguriert _ _ _ sind, lehnen die Kommunikation von Clients ab, die keinen erweiterten Schutz verwenden. Auf dem Client führt die WS _ KERBEROS _ APREQ _ MESSAGE SECURITY _ _ BINDING in Kombination mit WS SSL TRANSPORT SECURITY _ _ _ _ BINDING dazu, dass die Nachricht mithilfe der http-blockierten Übertragungscodierung unter Vista und höher gesendet wird. Dies kann zu Interopproblemen bei Servern führen, die keine blockierte Übertragung unterstützen.
Die folgenden Enums/Konstanten sind Teil des erweiterten Schutzes:
Die folgenden Satzzeichen sind Teil des erweiterten Schutzes: