Альфапедия

Встроенная проверка подлинности Windows

редактировать

Встроенная проверка подлинности Windows (IWA ) - термин, связанный с Продукты Microsoft, которые относятся к протоколам аутентификации SPNEGO, Kerberos и NTLMSSP в отношении функций SSPI, представленных в Microsoft Windows 2000 и входит в более поздние версии операционных систем на базе Windows NT. Этот термин чаще используется для автоматически аутентифицируемых соединений между Microsoft Internet Information Services, Internet Explorer и другими приложениями, поддерживающими Active Directory.

IWA также известен под несколькими именами, такими как HTTP Согласованная аутентификация, NT-аутентификация, NTLM-аутентификация, доменная аутентификация, встроенная аутентификация Windows, аутентификация Windows NT Challenge / Response или просто Windows Authentication.

Содержание

  • 1 Обзор
  • 2 Поддерживаемые веб-браузеры
  • 3 Поддерживаемые мобильные браузеры
  • 4 См. Также
  • 5 Ссылки
  • 6 Внешние ссылки

Обзор

Встроенная проверка подлинности Windows использует функции безопасности клиентов и серверов Windows. В отличие от обычной или дайджест-аутентификации, изначально она не запрашивает у пользователей имя пользователя и пароль. Информация о текущем пользователе Windows на клиентском компьютере предоставляется веб-браузером посредством криптографического обмена, включающего хеширование с веб-сервером. Если аутентификационный обмен изначально не может идентифицировать пользователя, веб-браузер предложит пользователю ввести имя пользователя и пароль учетной записи Windows.

Сама по себе встроенная проверка подлинности Windows не является стандартным протоколом проверки подлинности. Когда IWA выбран в качестве опции программы (например, на вкладке «Безопасность каталога» в диалоговом окне свойств сайта IIS ), это означает, что лежащие в основе механизмы безопасности должны использоваться в приоритетном порядке. Если провайдер Kerberos работает и билет Kerberos может быть получен для цели, и любые связанные настройки разрешают аутентификацию Kerberos (например, настройки сайтов интрасети в Internet Explorer ) будет предпринята попытка протокола Kerberos 5. В противном случае выполняется попытка аутентификации NTLMSSP. Аналогичным образом, если попытка проверки подлинности Kerberos не удалась, выполняется попытка NTLMSSP. IWA использует SPNEGO, чтобы позволить инициаторам и принимающим сторонам согласовывать протокол Kerberos или NTLMSSP. Сторонние утилиты расширили парадигму интегрированной аутентификации Windows на системы UNIX, Linux и Mac.

Поддерживаемые веб-браузеры

Встроенная проверка подлинности Windows работает с большинством современных веб-браузеров, но не работает через некоторые прокси-серверы HTTP . Следовательно, его лучше всего использовать в интрасетях, где все клиенты находятся в одном домене . Он может работать с другими веб-браузерами, если они настроены на передачу учетных данных пользователя на сервер, запрашивающий аутентификацию. Если прокси-сервер сам требует проверки подлинности NTLM, некоторые приложения, например Java, могут не работать, поскольку протокол для проверки подлинности прокси не описан в RFC-2069.

  • Internet Explorer 2 и более поздних версий.
  • В Mozilla Firefox в операционных системах Windows имена доменов / веб-сайтов, на которые должна проходить аутентификация, могут быть введено (через запятую для нескольких доменов) для "network.negotiate-auth.trusted-uris" (для Kerberos) или в предпочтительном имени network.automatic-ntlm-auth.trusted-uris (NTLM) на странице about: страницу конфигурации. В операционных системах Macintosh это работает, если у вас есть билет Kerberos (используйте согласование). Для некоторых веб-сайтов может также потребоваться настройка "network.negotiate-auth.delegation-uris".
  • Opera 9.01 и более поздние версии могут использовать NTLM / Negotiate, но будут использовать базовую или дайджест-аутентификацию, если это предлагается сервером.
  • Google Chrome работает с версии 8.0.
  • Safari работает, если у вас есть билет Kerberos.
  • Microsoft Edge 77 и новее.

Поддерживаемые мобильные браузеры

  • Bitzer Secure Browser поддерживает Kerberos и NTLM SSO с iOS и Android. Поддерживаются как KINIT, так и PKINIT.

См. Также

  • SSPI (интерфейс поставщика поддержки безопасности)
  • NTLM (NT Lan Manager)
  • SPNEGO (простое и защищенное согласование GSSAPI Механизм)
    • GSSAPI (Общий прикладной программный интерфейс служб безопасности)

Ссылки

  1. ^«Рекомендации Microsoft по безопасности (974926) - Атаки с ретрансляцией учетных данных при встроенной аутентификации Windows». Технический центр безопасности Microsoft. 2009-12-08. Архивировано из оригинала 19.06.2013. Проверено 16 ноября 2012. Этот совет касается [...] встроенной проверки подлинности Windows (IWA) [...]
  2. ^«Q147706: Как отключить проверку подлинности LM в Windows NT». Служба поддержки Microsoft. 2006-09-16. Архивировано 17.11.2012. из оригинала. Проверено 16 ноября 2012. [...] Windows NT поддерживает два типа аутентификации запрос / ответ: [...] LanManager (LM) запрос / ответ [...] Windows NT запрос / ответ (также известный как запрос / ответ NTLM) [...] Аутентификация LM не так сильна, как аутентификация Windows NT [...]
  3. ^"Аутентификация IIS". Библиотека Microsoft MSDN. Архивировано из оригинала 28.11.2012. Проверено 16 ноября 2012. Встроенная проверка подлинности Windows (ранее известная как проверка подлинности NTLM [...]) [...]
  4. ^«Обзор NTLM». Microsoft TechNet. 2012-02-29. Архивировано из оригинала 31.10.2012. Проверено 16 ноября 2012. При использовании протокола NTLM сервер ресурсов должен [...] связаться со службой аутентификации домена
  5. ^«MSKB258063: Internet Explorer может запросить пароль». Корпорация Майкрософт. Архивировано из оригинала 21.10.2012. Проверено 16 ноября 2012. Встроенная проверка подлинности Windows, запрос / ответ Windows NT (NTCR) и Windows NT LAN Manager (NTLM) одинаковы и используются в этой статье как синонимы.
  6. ^«Проверка подлинности IIS». Библиотека Microsoft MSDN. Архивировано из оригинала 28.11.2012. Проверено 16 ноября 2012. Встроенная проверка подлинности Windows (ранее известная как проверка подлинности запроса / ответа [...] Windows NT) [...]
  7. ^ Microsoft Corporation. «Встроенная проверка подлинности Windows (IIS 6.0)». Технический справочник IIS 6.0. Архивировано из оригинала 23.08.2009. Проверено 30 августа 2009 г.
  8. ^http://confluence.slac.stanford.edu/display/Gino/Integrated+Windows+Authentication
  9. ^«О программе: записи конфигурации». MozillaZine. 27 января 2012 г. Архивировано из оригинала 04.03.2012. Проверено 2 марта 2012 г.
  10. ^«Поддержка и конфигурация удостоверений Microsoft Edge». Microsoft. 2020-07-15. Проверено 9 сентября 2020 г.

Внешние ссылки

Последняя правка сделана 2021-05-24 03:54:36
Содержание доступно по лицензии CC BY-SA 3.0 (если не указано иное).
Обратная связь: support@alphapedia.ru
Соглашение
О проекте