Встроенная проверка подлинности Windows (IWA ) - термин, связанный с Продукты Microsoft, которые относятся к протоколам аутентификации SPNEGO, Kerberos и NTLMSSP в отношении функций SSPI, представленных в Microsoft Windows 2000 и входит в более поздние версии операционных систем на базе Windows NT. Этот термин чаще используется для автоматически аутентифицируемых соединений между Microsoft Internet Information Services, Internet Explorer и другими приложениями, поддерживающими Active Directory.
IWA также известен под несколькими именами, такими как HTTP Согласованная аутентификация, NT-аутентификация, NTLM-аутентификация, доменная аутентификация, встроенная аутентификация Windows, аутентификация Windows NT Challenge / Response или просто Windows Authentication.
Встроенная проверка подлинности Windows использует функции безопасности клиентов и серверов Windows. В отличие от обычной или дайджест-аутентификации, изначально она не запрашивает у пользователей имя пользователя и пароль. Информация о текущем пользователе Windows на клиентском компьютере предоставляется веб-браузером посредством криптографического обмена, включающего хеширование с веб-сервером. Если аутентификационный обмен изначально не может идентифицировать пользователя, веб-браузер предложит пользователю ввести имя пользователя и пароль учетной записи Windows.
Сама по себе встроенная проверка подлинности Windows не является стандартным протоколом проверки подлинности. Когда IWA выбран в качестве опции программы (например, на вкладке «Безопасность каталога» в диалоговом окне свойств сайта IIS ), это означает, что лежащие в основе механизмы безопасности должны использоваться в приоритетном порядке. Если провайдер Kerberos работает и билет Kerberos может быть получен для цели, и любые связанные настройки разрешают аутентификацию Kerberos (например, настройки сайтов интрасети в Internet Explorer ) будет предпринята попытка протокола Kerberos 5. В противном случае выполняется попытка аутентификации NTLMSSP. Аналогичным образом, если попытка проверки подлинности Kerberos не удалась, выполняется попытка NTLMSSP. IWA использует SPNEGO, чтобы позволить инициаторам и принимающим сторонам согласовывать протокол Kerberos или NTLMSSP. Сторонние утилиты расширили парадигму интегрированной аутентификации Windows на системы UNIX, Linux и Mac.
Встроенная проверка подлинности Windows работает с большинством современных веб-браузеров, но не работает через некоторые прокси-серверы HTTP . Следовательно, его лучше всего использовать в интрасетях, где все клиенты находятся в одном домене . Он может работать с другими веб-браузерами, если они настроены на передачу учетных данных пользователя на сервер, запрашивающий аутентификацию. Если прокси-сервер сам требует проверки подлинности NTLM, некоторые приложения, например Java, могут не работать, поскольку протокол для проверки подлинности прокси не описан в RFC-2069.
Этот совет касается [...] встроенной проверки подлинности Windows (IWA) [...]
[...] Windows NT поддерживает два типа аутентификации запрос / ответ: [...] LanManager (LM) запрос / ответ [...] Windows NT запрос / ответ (также известный как запрос / ответ NTLM) [...] Аутентификация LM не так сильна, как аутентификация Windows NT [...]
Встроенная проверка подлинности Windows (ранее известная как проверка подлинности NTLM [...]) [...]
При использовании протокола NTLM сервер ресурсов должен [...] связаться со службой аутентификации домена
Встроенная проверка подлинности Windows, запрос / ответ Windows NT (NTCR) и Windows NT LAN Manager (NTLM) одинаковы и используются в этой статье как синонимы.
Встроенная проверка подлинности Windows (ранее известная как проверка подлинности запроса / ответа [...] Windows NT) [...]