Встроенная проверка подлинности Windows - Integrated Windows Authentication
Эта статья требует внимания эксперта по предмету.Январь 2009) ( |
Интегрированный Проверка подлинности Windows (IWA)[1]это термин, связанный с Microsoft продукты, относящиеся к СПНЕГО, Kerberos, и NTLMSSP протоколы аутентификации в отношении SSPI функциональность, представленная в Microsoft Windows 2000 и включен позже Windows NT операционные системы на базе. Этот термин чаще используется для автоматически аутентифицированных соединений между Microsoft. Информационные службы Интернета, Internet Explorer, и другие Active Directory осведомленные приложения.
IWA также известен под несколькими именами, такими как HTTP Согласовать аутентификацию, NT аутентификация,[2] NTLM аутентификация,[3] Аутентификация домена,[4] Встроенная проверка подлинности Windows,[5] Проверка подлинности Windows NT Challenge / Response,[6] или просто Проверка подлинности Windows.
Обзор
Встроенная проверка подлинности Windows использует функции безопасности клиентов и серверов Windows. В отличие от обычной или дайджест-аутентификации, изначально она не запрашивает у пользователей имя пользователя и пароль. Информация о текущем пользователе Windows на клиентском компьютере предоставляется веб-браузером посредством криптографического обмена, включающего хеширование с веб-сервером. Если аутентификационный обмен изначально не может идентифицировать пользователя, веб-браузер предложит пользователю ввести имя пользователя и пароль учетной записи Windows.
Сама по себе встроенная проверка подлинности Windows не является стандартом или протоколом проверки подлинности. Когда IWA выбран в качестве опции программы (например, в Безопасность каталога вкладка IIS диалог свойств сайта)[7] это означает, что лежащие в основе механизмы безопасности должны использоваться в преимущественном порядке. Если Kerberos провайдер функционирует и Билет Kerberos могут быть получены для целевого объекта, и любые связанные параметры разрешают проверку подлинности Kerberos (например, параметры сайтов интрасети в Internet Explorer ) будет выполнена попытка протокола Kerberos 5. Иначе NTLMSSP попытка аутентификации. Аналогичным образом, если попытка проверки подлинности Kerberos не удалась, выполняется попытка NTLMSSP. IWA использует СПНЕГО чтобы позволить инициаторам и приемникам согласовывать Kerberos или NTLMSSP. Сторонние утилиты расширили парадигму интегрированной аутентификации Windows на системы UNIX, Linux и Mac.
Поддерживаемые веб-браузеры
Встроенная проверка подлинности Windows работает с большинством современных веб-браузеров,[8] но не работает через некоторые HTTP прокси-серверы.[7] Поэтому его лучше всего использовать в интрасети где все клиенты находятся в едином домен. Он может работать с другими веб-браузерами, если они настроены на передачу учетных данных пользователя на сервер, запрашивающий аутентификацию. Если для самого прокси требуется проверка подлинности NTLM, некоторые приложения, например Java, могут не работать, поскольку протокол для проверки подлинности прокси не описан в RFC-2069.
- Internet Explorer 2 и более поздние версии.[7]
- В Mozilla Firefox в операционных системах Windows имена доменов / веб-сайтов, на которые должна проходить аутентификация, могут быть введены (через запятую для нескольких доменов) для "network.negotiate-auth.trusted-uris"(для Kerberos) или в"network.automatic-NTLM-auth.trusted-uris"(NTLM) Имя предпочтения на about: config страница.[9] В операционных системах Macintosh это работает, если у вас есть билет Kerberos (используйте согласование). Некоторым веб-сайтам также может потребоваться настройка "network.negotiate-auth.delegation-uris".
- Опера 9.01 и более поздние версии могут использовать NTLM / Negotiate, но будут использовать базовую или дайджест-аутентификацию, если это предлагается сервером.
- Гугл Хром работает с 8.0.
- Сафари работает, если у вас есть билет Kerberos.
- Microsoft Edge 77 и новее.[10]
Поддерживаемые мобильные браузеры
- Безопасный браузер Bitzer поддерживает Kerberos и NTLM SSO с iOS и Android. Поддерживаются как KINIT, так и PKINIT.
Смотрите также
- SSPI (Интерфейс поставщика поддержки безопасности)
- NTLM (NT Lan Manager)
- СПНЕГО (Простой и защищенный механизм согласования GSSAPI)
- GSSAPI (Общий прикладной программный интерфейс служб безопасности)
Рекомендации
- ^ "Microsoft Security Advisory (974926) - Атаки с ретрансляцией учетных данных на встроенную проверку подлинности Windows". Технический центр безопасности Microsoft. 2009-12-08. В архиве из оригинала 2013-06-19. Получено 2012-11-16.
Этот совет касается [...] встроенной проверки подлинности Windows (IWA) [...]
- ^ «Q147706: Как отключить аутентификацию LM в Windows NT». Служба поддержки Microsoft. 2006-09-16. В архиве из оригинала от 17.11.2012. Получено 2012-11-16.
[...] Windows NT поддерживает два типа аутентификации запрос / ответ: [...] LanManager (LM) запрос / ответ [...] Windows NT запрос / ответ (также известный как NTLM запрос / ответ) [.. .] LM-аутентификация не так сильна, как аутентификация Windows NT [...]
- ^ «Аутентификация IIS». Библиотека Microsoft MSDN. В архиве из оригинала от 28.11.2012. Получено 2012-11-16.
Встроенная проверка подлинности Windows (ранее известная как проверка подлинности NTLM [...]) [...]
- ^ «Обзор NTLM». Microsoft TechNet. 2012-02-29. В архиве с оригинала от 31.10.2012. Получено 2012-11-16.
При использовании протокола NTLM сервер ресурсов должен [...] связаться со службой аутентификации домена.
- ^ «MSKB258063: Internet Explorer может запросить пароль». Корпорация Майкрософт. В архиве с оригинала от 21.10.2012. Получено 2012-11-16.
Встроенная проверка подлинности Windows, Windows NT Challenge / Response (NTCR) и Windows NT LAN Manager (NTLM) идентичны и используются в этой статье как синонимы.
- ^ «Аутентификация IIS». Библиотека Microsoft MSDN. В архиве из оригинала от 28.11.2012. Получено 2012-11-16.
Встроенная проверка подлинности Windows (ранее известная как проверка подлинности запроса / ответа [...] Windows NT) [...]
- ^ а б c Корпорация Майкрософт. «Встроенная проверка подлинности Windows (IIS 6.0)». Технический справочник по IIS 6.0. В архиве из оригинала от 23.08.2009. Получено 2009-08-30.
- ^ http://confluence.slac.stanford.edu/display/Gino/Integrated+Windows+Authentication
- ^ "О программе: записи конфигурации". MozillaZine. 27 января 2012 г. В архиве из оригинала от 04.03.2012. Получено 2012-03-02.
- ^ «Поддержка и настройка Microsoft Edge identity». Microsoft. 2020-07-15. Получено 2020-09-09.