Встроенная проверка подлинности Windows

Встроенная проверка подлинности Windows ( IWA ) ^[1]это термин, связанный с продуктами Microsoft , который относится к протоколам аутентификации SPNEGO , Kerberos и NTLMSSP в отношении функций SSPI , представленных в Microsoft Windows 2000 и включенных в более поздние операционные системы на базе Windows NT . Этот термин чаще используется для автоматически аутентифицированных соединений между Microsoft Internet Information Services , Internet Explorer и другими приложениями, поддерживающими Active Directory .

IWA также известен под несколькими названиями, такими как HTTP аутентификация Negotiate , аутентификация NT , ^[2] NTLM-аутентификация , ^[3] Аутентификация домена , ^[4] Интегрированная проверка подлинности Windows , ^[5] Аутентификация запроса/ответа Windows NT , ^[6] или просто проверка подлинности Windows .

Обзор

Встроенная проверка подлинности Windows использует функции безопасности клиентов и серверов Windows. В отличие от базовой аутентификации или дайджест-аутентификации , изначально она не запрашивает у пользователей имя пользователя и пароль. Текущая информация о пользователе Windows на клиентском компьютере предоставляется веб-браузером посредством криптографического обмена, включающего хеширование, с веб-сервером. Если при обмене аутентификацией изначально не удается идентифицировать пользователя, веб-браузер предложит пользователю ввести имя пользователя и пароль учетной записи пользователя Windows.

Встроенная проверка подлинности Windows сама по себе не является стандартом или протоколом проверки подлинности. Когда IWA выбран в качестве опции программы (например, на «Безопасность каталога» вкладке IIS ) диалогового окна свойств сайта ^[7] это означает, что базовые механизмы безопасности следует использовать в предпочтительном порядке. Если поставщик Kerberos работоспособен и билет Kerberos для цели можно получить , а любые связанные настройки разрешают выполнение аутентификации Kerberos (например, настройки сайтов интрасети в Internet Explorer ), будет предпринята попытка использования протокола Kerberos 5. В противном случае будет предпринята попытка аутентификации NTLMSSP . Аналогично, если попытка аутентификации Kerberos не удалась, будет предпринята попытка NTLMSSP. IWA использует SPNEGO , чтобы позволить инициаторам и получателям согласовывать либо Kerberos, либо NTLMSSP. Утилиты сторонних производителей расширили парадигму встроенной аутентификации Windows на системы UNIX, Linux и Mac.

Поддерживаемые веб-браузеры

Встроенная проверка подлинности Windows работает с большинством современных веб-браузеров. ^[8] но не работает через некоторые прокси-серверы HTTP . ^[7] Поэтому его лучше всего использовать в интрасетях , где все клиенты находятся в одном домене . Он может работать с другими веб-браузерами, если они настроены на передачу учетных данных пользователя на сервер, запрашивающий аутентификацию. Если сам прокси-сервер требует аутентификации NTLM, некоторые приложения, такие как Java, могут не работать, поскольку протокол аутентификации прокси-сервера не описан в RFC-2069.

Internet Explorer 2 и более поздние версии. ^[7]
В Mozilla Firefox в операционных системах Windows имена доменов/веб-сайтов, на которые должна быть передана аутентификация, могут быть введены (разделены запятыми для нескольких доменов) для « network.negotiate-auth.trusted-uris » (для Kerberos). или в имени предпочтения « network.automatic-ntlm-auth.trusted-uris » (NTLM) на странице about:config . ^[9] В операционных системах Macintosh это работает, если у вас есть билет Kerberos (используйте согласование). На некоторых веб-сайтах также может потребоваться настройка network.negotiate-auth.delegation-uris .
Opera 9.01 и более поздние версии могут использовать NTLM/Negotiate, но будут использовать базовую или дайджест-аутентификацию, если она предлагается сервером.
Google Chrome работает начиная с версии 8.0.
Safari работает, если у вас есть билет Kerberos.
Microsoft Edge 77 и более поздние версии. ^[10]

Поддерживаемые мобильные браузеры

iOS изначально поддерживает Kerberos через расширение единого входа Kerberos . Настройка расширения позволяет Safari и Edge использовать Kerberos.

Android имеет поддержку SPNEGO в Chrome , которая добавляет поддержку Kerberos с помощью такого решения, как Hypergate Authenticator .

См. также

SSPI (Интерфейс поставщика поддержки безопасности)
NTLM (NT Lan Manager)
SPNEGO (Простой и защищенный механизм переговоров GSSAPI)
- GSSAPI (общий программный интерфейс служб безопасности)

Ссылки

^ «Рекомендации Microsoft по безопасности (974926) — Атаки с ретрансляцией учетных данных на встроенную проверку подлинности Windows» . Техцентр Microsoft по безопасности. 08.12.2009. Архивировано из оригинала 19 июня 2013 г. Проверено 16 ноября 2012 г. Эта рекомендация касается [...] встроенной проверки подлинности Windows (IWA), [...]
^ «Q147706: Как отключить аутентификацию LM в Windows NT» . Поддержка Майкрософт. 16 сентября 2006 г. Архивировано из оригинала 17 ноября 2012 г. Проверено 16 ноября 2012 г. [...] Windows NT поддерживала два типа аутентификации по запросу/ответу: [...] вызов/ответ LanManager (LM) [...] запрос/ответ Windows NT (также известный как запрос/ответ NTLM) [.. .] Аутентификация LM не так надежна, как аутентификация Windows NT [...]
^ «Аутентификация IIS» . Библиотека Microsoft MSDN. Архивировано из оригинала 28 ноября 2012 г. Проверено 16 ноября 2012 г. Встроенная проверка подлинности Windows (ранее известная как проверка подлинности NTLM [...]) [...]
^ «Обзор NTLM» . Microsoft TechNet. 29 февраля 2012 г. Архивировано из оригинала 31 октября 2012 г. Проверено 16 ноября 2012 г. При использовании протокола NTLM сервер ресурсов должен [...] обратиться в службу аутентификации домена.
^ «MSKB258063: Internet Explorer может запросить пароль» . Корпорация Майкрософт. Архивировано из оригинала 21 октября 2012 г. Проверено 16 ноября 2012 г. Встроенная проверка подлинности Windows, запрос/ответ Windows NT (NTCR) и диспетчер локальной сети Windows NT (NTLM) одинаковы и используются в этой статье как синонимы.
^ «Аутентификация IIS» . Библиотека Microsoft MSDN. Архивировано из оригинала 28 ноября 2012 г. Проверено 16 ноября 2012 г. Встроенная проверка подлинности Windows (ранее известная как проверка подлинности [...] запроса/ответа Windows NT) [...]
^ Перейти обратно: ^а ^б ^с Корпорация Майкрософт. «Встроенная проверка подлинности Windows (IIS 6.0)» . Технический справочник по IIS 6.0 . Архивировано из оригинала 23 августа 2009 г. Проверено 30 августа 2009 г.
^ «Встроенная проверка подлинности Windows — конвейер Gino — слияние SLAC» .
^ «О программе: записи конфигурации» . МозиллаЗин . 27 января 2012 г. Архивировано из оригинала 04 марта 2012 г. Проверено 2 марта 2012 г.
^ «Поддержка и настройка удостоверений Microsoft Edge» . Майкрософт . 15 июля 2020 г. Проверено 9 сентября 2020 г.

Внешние ссылки

Обсуждение IWA в техническом справочнике Microsoft IIS 6.0

[1] «Рекомендации Microsoft по безопасности (974926) — Атаки с ретрансляцией учетных данных на встроенную проверку подлинности Windows» . Техцентр Microsoft по безопасности. 08.12.2009. Архивировано из оригинала 19 июня 2013 г. Проверено 16 ноября 2012 г. Эта рекомендация касается [...] встроенной проверки подлинности Windows (IWA), [...]

[2] «Q147706: Как отключить аутентификацию LM в Windows NT» . Поддержка Майкрософт. 16 сентября 2006 г. Архивировано из оригинала 17 ноября 2012 г. Проверено 16 ноября 2012 г. [...] Windows NT поддерживала два типа аутентификации по запросу/ответу: [...] вызов/ответ LanManager (LM) [...] запрос/ответ Windows NT (также известный как запрос/ответ NTLM) [.. .] Аутентификация LM не так надежна, как аутентификация Windows NT [...]

[3] «Аутентификация IIS» . Библиотека Microsoft MSDN. Архивировано из оригинала 28 ноября 2012 г. Проверено 16 ноября 2012 г. Встроенная проверка подлинности Windows (ранее известная как проверка подлинности NTLM [...]) [...]

[4] «Обзор NTLM» . Microsoft TechNet. 29 февраля 2012 г. Архивировано из оригинала 31 октября 2012 г. Проверено 16 ноября 2012 г. При использовании протокола NTLM сервер ресурсов должен [...] обратиться в службу аутентификации домена.

[5] «MSKB258063: Internet Explorer может запросить пароль» . Корпорация Майкрософт. Архивировано из оригинала 21 октября 2012 г. Проверено 16 ноября 2012 г. Встроенная проверка подлинности Windows, запрос/ответ Windows NT (NTCR) и диспетчер локальной сети Windows NT (NTLM) одинаковы и используются в этой статье как синонимы.

[6] «Аутентификация IIS» . Библиотека Microsoft MSDN. Архивировано из оригинала 28 ноября 2012 г. Проверено 16 ноября 2012 г. Встроенная проверка подлинности Windows (ранее известная как проверка подлинности [...] запроса/ответа Windows NT) [...]

[iisDocumentation-7] Перейти обратно: ^а ^б ^с Корпорация Майкрософт. «Встроенная проверка подлинности Windows (IIS 6.0)» . Технический справочник по IIS 6.0 . Архивировано из оригинала 23 августа 2009 г. Проверено 30 августа 2009 г.

[8] «Встроенная проверка подлинности Windows — конвейер Gino — слияние SLAC» .

[9] «О программе: записи конфигурации» . МозиллаЗин . 27 января 2012 г. Архивировано из оригинала 04 марта 2012 г. Проверено 2 марта 2012 г.

[10] «Поддержка и настройка удостоверений Microsoft Edge» . Майкрософт . 15 июля 2020 г. Проверено 9 сентября 2020 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]