Denne artikel er en spejling af maskinoversættelse, klik venligst her for at springe til den oprindelige artikel.

Architect_Programmer_Code Landbrugsnetværk»Arkitekt Programmering Teknisk chat Windows NTLM Certificeringsprotokolproces
Udsigt: 10977|Svar: 0

Windows NTLM Certificeringsprotokolproces

[Kopier link]
Opslået den 5-9-2020 13:28:14 | | | |
IIS tilbyder mange forskellige autentificeringsteknologier. En af dem er integrationen af Windows-autentificering. Integreret Windows-autentificering udnytter forhandlings-Kerberos eller NTLM til at autentificere brugere baseret på krypterede ticketbeskeder, der sendes mellem browseren og serveren.

Det mest almindelige anvendelsesscenarie for NTLM-autentificering er sandsynligvis den autentificering, der bruges i browsere (http-protokol). Men i virkeligheden specificerer NTLM kun autentificeringsprocessen og autentificeringsmeddelelsesformatet. Det er ikke relateret til specifikke aftaler. Så der er ikke nødvendigvis nogen forbindelse til http. Browseren bærer kun NTLM-beskeden på http-protokolheaderen og gennemfører autentificeringen. Vi ved, at http normalt er i klartekst, så hvis den direkte overførsel af adgangskoder er meget usikker, forhindrer NTLM effektivt dette problem.   

Certificeringsproces



NTLM-autentificering kræver tre trin for at gennemføre, og du kan se den detaljerede anmodningsproces gennem Fiddler-værktøjskassen.






Trin 1

Brugeren logger ind på klienthosten ved at indtaste Windows-kontonummer og adgangskode. Før login cacher klienten hashen af den indtastede adgangskode, og den oprindelige adgangskode kasseres ("den oprindelige adgangskode kan under ingen omstændigheder caches", dette er en grundlæggende sikkerhedsretningslinje). En bruger, der logger ind på klientens Windows, skal sende en anmodning til den anden part, hvis de forsøger at få adgang til serverressourcer. Anmodningen indeholder et brugernavn i klartekst.

Trin 2

Når serveren modtager forespørgslen, genererer den et 16-bit tilfældigt tal. Dette tilfældige tal kaldes en udfordring eller nonce. Udfordringen gemmes, før serveren sender den til klienten. Udfordringer sendes i klartekst.


Trin 3

Efter at have modtaget udfordringen sendt tilbage af serveren, krypterer klienten den med adgangskodehashen gemt i trin 1 og sender derefter den krypterede udfordring til serveren.


Trin 4

Efter at have modtaget den krypterede udfordring, der sendes tilbage af klienten, sender serveren en autentificeringsanmodning til klienten til DC (domænet). Anmodningen indeholder hovedsageligt følgende tre indhold: klientbrugernavn; Udfordring og original udfordring med krypteret klientadgangskodehash.


Trin 5 og 6

DC krypterer den oprindelige udfordring ved at hente adgangskodehashen for kontoen baseret på brugernavnet. Hvis den krypterede udfordring er den samme som den, serveren sendte, betyder det, at brugeren har den korrekte adgangskode, og verifikationen består, ellers fejler verifikationen. Distributionscentralen sender verifikationsresultaterne til serveren og sender til sidst tilbage til klienten.


Referenceartikler:

Hyperlink-login er synlig.
Hyperlink-login er synlig.
Hyperlink-login er synlig.




Tidligere:Azure DevOps 2020 (III) begrænser søgning (ES) hukommelsesfodaftryk
Næste:Azure DevOps 2020 (II) Azure DevOps Server Express 2020 RC2 installation tutorial

Relaterede indlæg
Ansvarsfraskrivelse:
Al software, programmeringsmaterialer eller artikler udgivet af Code Farmer Network er kun til lærings- og forskningsformål; Ovenstående indhold må ikke bruges til kommercielle eller ulovlige formål, ellers skal brugerne bære alle konsekvenser. Oplysningerne på dette site kommer fra internettet, og ophavsretstvister har intet med dette site at gøre. Du skal slette ovenstående indhold fuldstændigt fra din computer inden for 24 timer efter download. Hvis du kan lide programmet, så understøt venligst ægte software, køb registrering og få bedre ægte tjenester. Hvis der er nogen overtrædelse, bedes du kontakte os via e-mail.
Mail To:help@itsvse.com