Integratsiyalangan Windows autentifikatsiyasi - Integrated Windows Authentication

Boshqa maqsadlar uchun qarang IWA (ajralish).

Birlashtirilgan Windows autentifikatsiyasi (IWA)[1]bilan bog'liq bo'lgan atama Microsoft ga tegishli mahsulotlar SPNEGO, Kerberos va NTLMSSP nisbatan autentifikatsiya protokollari SSPI Microsoft bilan tanishtirilgan funksionallik Windows 2000 va keyinchalik kiritilgan Windows NT - operatsion tizimlarga asoslangan. Ushbu atama Microsoft o'rtasida avtomatik ravishda tasdiqlangan ulanishlar uchun ko'proq qo'llaniladi Internet-axborot xizmatlari, Internet Explorer va boshqalar Faol katalog xabardor dasturlar.

IWA shuningdek bir nechta ismlar bilan tanilgan HTTP Autentifikatsiya to'g'risida muzokaralar olib boring, NT autentifikatsiya,[2] NTLM autentifikatsiyasi,[3] Domen autentifikatsiyasi,[4] Windows-ning o'rnatilgan autentifikatsiyasi,[5] Windows NT Challenge / Response autentifikatsiyasi,[6] yoki oddiygina Windows autentifikatsiyasi.

Umumiy nuqtai

Qo'shimcha ma'lumotlar: SPNEGO, Kerberos (protokol), NTLMSSP, NTLM, SSPI va GSSAPI

Integrated Windows Authentication Windows mijozlari va serverlarining xavfsizlik xususiyatlaridan foydalanadi. Dastlabki yoki Digest autentifikatsiyasidan farqli o'laroq, u foydalanuvchilarga foydalanuvchi nomi va parolini so'ramaydi. Mijoz kompyuteridagi Windows foydalanuvchisining joriy ma'lumotlari veb-brauzer tomonidan veb-server bilan xashlashni o'z ichiga olgan kriptografik almashinuv orqali ta'minlanadi. Agar dastlab autentifikatsiya almashinuvi foydalanuvchini aniqlay olmasa, veb-brauzer foydalanuvchidan Windows foydalanuvchisi hisob qaydnomasi foydalanuvchi nomi va parolini so'raydi.

Integrated Windows Authentication o'zi standart yoki autentifikatsiya protokoli emas. IWA dasturning varianti sifatida tanlanganida (masalan, ichida Katalog xavfsizligi yorlig'i IIS sayt xususiyatlari dialogi)[7] bu shuni anglatadiki, asosiy xavfsizlik mexanizmlaridan imtiyozli tartibda foydalanish kerak. Agar Kerberos provayder funktsional va a Kerberos chiptasi maqsad uchun olinishi mumkin va bog'liq bo'lgan har qanday sozlamalar Kerberos autentifikatsiyasini amalga oshirishga imkon beradi (masalan, Intranet saytlari sozlamalari Internet Explorer ), Kerberos 5 protokoliga urinib ko'riladi. Aks holda NTLMSSP autentifikatsiya qilishga urinilmoqda. Xuddi shunday, agar Kerberos autentifikatsiyasi amalga oshirilsa, u ishlamay qolsa, NTLMSSP-ga urinish amalga oshiriladi. IWA foydalanadi SPNEGO tashabbuskorlar va qabul qiluvchilarga Kerberos yoki NTLMSSP bilan muzokaralar olib borishlariga ruxsat berish. Uchinchi tomon yordam dasturlari Integrated Windows Authentication paradigmasini UNIX, Linux va Mac tizimlariga kengaytirdi.

Qo'llab-quvvatlanadigan veb-brauzerlar

Integrated Windows Authentication eng zamonaviy veb-brauzerlar bilan ishlaydi,[8] lekin ba'zi HTTP-larda ishlamaydi proksi-serverlar.[7] Shuning uchun uni ishlatish eng yaxshisidir ichki tarmoqlar bu erda barcha mijozlar bitta ichida domen. Agar u foydalanuvchi tizimga kirish ma'lumotlarini autentifikatsiya qilishni talab qilayotgan serverga uzatishi uchun tuzilgan bo'lsa, boshqa veb-brauzerlar bilan ishlashi mumkin. Agar proksi-server o'zi NTLM autentifikatsiyasini talab qiladigan bo'lsa, Java kabi ba'zi ilovalar ishlamasligi mumkin, chunki protokol RFC-2069-da proksi-server autentifikatsiyasi uchun tavsiflanmagan.

  • Internet Explorer 2 va undan keyingi versiyalar.[7]
  • Yilda Mozilla Firefox Windows operatsion tizimlarida autentifikatsiya o'tishi kerak bo'lgan domenlar / veb-saytlar nomlari "(bir nechta domenlar uchun vergul bilan ajratilgan) kiritilishi mumkin."network.negotiate-auth.trusted-uris"(Kerberos uchun) yoki"network.automatic-ntlm-auth.trusted-uris"(NTLM) -dagi afzal nomi haqida: config sahifa.[9] Macintosh operatsion tizimida bu sizning kerberos chiptangiz bo'lsa ishlaydi (muzokara qiling). Ba'zi veb-saytlar "network.negotiate-auth.delegation-uris".
  • Opera 9.01 va undan keyingi versiyalar NTLM / Negotiate-dan foydalanishi mumkin, ammo server tomonidan taklif qilingan bo'lsa, Basic yoki Digest autentifikatsiyasidan foydalaniladi.
  • Gugl xrom 8.0 holatiga ko'ra ishlaydi.
  • Safari Kerberos chiptasiga ega bo'lgandan so'ng ishlaydi.
  • Microsoft Edge 77 va undan keyin.[10]

Qo'llab-quvvatlanadigan mobil brauzerlar

  • Bitzer xavfsiz brauzeri iOS va Android-dan Kerberos va NTLM SSO-ni qo'llab-quvvatlaydi. Ham KINIT, ham PKINIT qo'llab-quvvatlanadi.

Shuningdek qarang

  • SSPI (Xavfsizlikni qo'llab-quvvatlovchi provayder interfeysi)
  • NTLM (NT LAN menejeri)
  • SPNEGO (Oddiy va himoyalangan GSSAPI muzokaralar mexanizmi)
    • GSSAPI (Umumiy xavfsizlik xizmatlarini qo'llash dasturining interfeysi)

Adabiyotlar

  1. ^ "Microsoft Security Advisory (974926) - Integratsiyalangan Windows autentifikatsiyasiga ishonch yorliqlari hujumlari". Microsoft Security TechCenter. 2009-12-08. Arxivlandi asl nusxasidan 2013-06-19. Olingan 2012-11-16. Ushbu maslahat manzillari [...] Integrated Windows Authentication (IWA) [...]
  2. ^ "Q147706: Windows NT-da LM autentifikatsiyasini qanday o'chirish mumkin". Microsoft ko'magi. 2006-09-16. Arxivlandi asl nusxasidan 2012-11-17. Olingan 2012-11-16. [...] Windows NT ikki xil chaqiriq / javobni autentifikatsiya qilishni qo'llab-quvvatladi: [...] LanManager (LM) chaqiriq / javob [...] Windows NT chaqiriq / javob (shuningdek, NTLM chaqirish / javob deb nomlanadi) [..] .] LM autentifikatsiyasi Windows NT autentifikatsiyasi kabi kuchli emas [...]
  3. ^ "IIS autentifikatsiyasi". Microsoft MSDN kutubxonasi. Arxivlandi asl nusxasidan 2012-11-28. Olingan 2012-11-16. Integratsiyalashgan Windows autentifikatsiyasi (ilgari NTLM autentifikatsiyasi [...] deb nomlangan) [...]
  4. ^ "NTLM haqida umumiy ma'lumot". Microsoft TechNet. 2012-02-29. Arxivlandi asl nusxasidan 2012-10-31. Olingan 2012-11-16. NTLM protokoli ishlatilganda, manba serveri [...] domenni autentifikatsiya qilish xizmatiga murojaat qilishi kerak
  5. ^ "MSKB258063: Internet Explorer sizga parol so'rashi mumkin". Microsoft korporatsiyasi. Arxivlandi asl nusxadan 2012-10-21. Olingan 2012-11-16. Windows Integrated autentifikatsiya, Windows NT Challenge / Response (NTCR) va Windows NT LAN Manager (NTLM) bir xil va ushbu maqola davomida sinonim sifatida ishlatiladi.
  6. ^ "IIS autentifikatsiyasi". Microsoft MSDN kutubxonasi. Arxivlandi asl nusxasidan 2012-11-28. Olingan 2012-11-16. Integratsiyalashgan Windows autentifikatsiyasi (ilgari [...] Windows NT Challenge / Response autentifikatsiyasi) [...]
  7. ^ a b v Microsoft korporatsiyasi. "Integrated Windows Authentication (IIS 6.0)". IIS 6.0 Texnik ma'lumotnoma. Arxivlandi asl nusxasidan 2009-08-23. Olingan 2009-08-30.
  8. ^ http://confluence.slac.stanford.edu/display/Gino/Integrated+Windows+Autifikatsiya
  9. ^ "Haqida: konfiguratsiya yozuvlari". MozillaZine. 2012 yil 27 yanvar. Arxivlandi asl nusxasidan 2012-03-04. Olingan 2012-03-02.
  10. ^ "Microsoft Edge identifikatorini qo'llab-quvvatlash va sozlash". Microsoft. 2020-07-15. Olingan 2020-09-09.

Tashqi havolalar