3.8 安全服务

安全服务允许客户机和服务器彼此认证并执行被认证的RPC。安全系统的核心使得客户机被认证并得到PAC特权属性证书（Privilege Attribute Certificates），而又不让它们的口令出现在网络上，甚至不能以加密的形式出现。PAC给客户机提供了一种既方便又安全可靠的方法以证明身份。

图3-11示出单个DCE信元中安全系统的主要部件。

图3-11 单个DCE信元中安全系统的主要部件

DCE中的每个单元都有安全服务器，包括：

（1）注册服务机构，管理和维护数据库（口令登录许可证TGT）。

（2）认证服务机构，确认给用户存取资源的权力。

（3）特权服务机构。

当用户登录到系统后，它就可以使用通过认证的RPC来执行一个可以与服务器进程进行安全通信的客户机进程。当经过认证的RPC请求到达时，服务器就使用PAC来判断用户的身份，同时检查它自己所保存的访问控制表，以判断是否能够执行用户所请求的操作。服务器都有一个用来保护自己对象的访问控制表管理器。通过使用访问控制表编辑程序，不仅可以在列表中增加或删除用户，而且也可以增加或删除用户所具有的权限。