Οι υπηρεσίες IIS προσφέρουν πολλές διαφορετικές τεχνολογίες ελέγχου ταυτότητας. Ένα από αυτά είναι η ενσωμάτωση του ελέγχου ταυτότητας των Windows. Ο ενσωματωμένος έλεγχος ταυτότητας των Windows αξιοποιεί τη διαπραγμάτευση Kerberos ή NTLM για τον έλεγχο ταυτότητας των χρηστών με βάση κρυπτογραφημένα μηνύματα εισιτηρίων που διαβιβάζονται μεταξύ του προγράμματος περιήγησης και του διακομιστή.
Το πιο συνηθισμένο σενάριο εφαρμογής του ελέγχου ταυτότητας NTLM είναι πιθανώς ο έλεγχος ταυτότητας που χρησιμοποιείται στα προγράμματα περιήγησης (πρωτόκολλο http). Αλλά στην πραγματικότητα, το NTLM καθορίζει μόνο τη διαδικασία ελέγχου ταυτότητας και τη μορφή μηνύματος ελέγχου ταυτότητας. Δεν σχετίζεται με συγκεκριμένες συμφωνίες. Επομένως, δεν υπάρχει απαραίτητα σύνδεση με το http. Το πρόγραμμα περιήγησης μεταφέρει μόνο το μήνυμα NTLM στην κεφαλίδα του πρωτοκόλλου http και περνά τον έλεγχο ταυτότητας. Γνωρίζουμε ότι το http είναι συνήθως σε απλό κείμενο, οπότε αν η άμεση μετάδοση κωδικών πρόσβασης είναι πολύ ανασφαλής, το NTLM αποτρέπει αποτελεσματικά αυτό το πρόβλημα.
Διαδικασία πιστοποίησης
Ο έλεγχος ταυτότητας NTLM απαιτεί τρία βήματα για να ολοκληρωθεί και μπορείτε να δείτε τη λεπτομερή διαδικασία αίτησης μέσω της εργαλειοθήκης του βιολιού.
Βήμα 1
Ο χρήστης συνδέεται στον κεντρικό υπολογιστή πελάτη εισάγοντας τον αριθμό λογαριασμού και τον κωδικό πρόσβασης των Windows. Πριν από τη σύνδεση, ο πελάτης αποθηκεύει προσωρινά τον κατακερματισμό του εισαγόμενου κωδικού πρόσβασης και ο αρχικός κωδικός πρόσβασης απορρίπτεται ("ο αρχικός κωδικός πρόσβασης δεν μπορεί να αποθηκευτεί προσωρινά σε καμία περίπτωση", αυτή είναι μια βασική οδηγία ασφαλείας). Ένας χρήστης που συνδέεται με επιτυχία στα Windows του προγράμματος-πελάτη πρέπει να στείλει μια αίτηση στο άλλο μέρος, εάν προσπαθήσει να αποκτήσει πρόσβαση σε πόρους διακομιστή. Το αίτημα περιέχει ένα όνομα χρήστη σε απλό κείμενο.
Βήμα 2
Όταν ο διακομιστής λαμβάνει το αίτημα, δημιουργεί έναν τυχαίο αριθμό 16-bit. Αυτός ο τυχαίος αριθμός ονομάζεται πρόκληση ή nonce. Η πρόκληση αποθηκεύεται πριν ο διακομιστής τη στείλει στον πελάτη. Οι προκλήσεις αποστέλλονται σε απλό κείμενο.
Βήμα 3
Αφού λάβει την πρόκληση που αποστέλλεται πίσω από τον διακομιστή, ο πελάτης την κρυπτογραφεί με τον κατακερματισμό κωδικού πρόσβασης που αποθηκεύτηκε στο βήμα 1 και, στη συνέχεια, στέλνει την κρυπτογραφημένη πρόκληση στον διακομιστή.
Βήμα 4
Μετά τη λήψη της κρυπτογραφημένης πρόκλησης που αποστέλλεται από τον πελάτη, ο διακομιστής στέλνει ένα αίτημα ελέγχου ταυτότητας στον πελάτη στον ελεγκτή τομέα (Τομέας). Το αίτημα περιλαμβάνει κυρίως τα ακόλουθα τρία περιεχόμενα: όνομα χρήστη πελάτη. Πρόκληση και πρωτότυπη πρόκληση με κρυπτογραφημένο κατακερματισμό κωδικού πρόσβασης πελάτη.
Βήματα 5 και 6
Το DC κρυπτογραφεί την αρχική πρόκληση λαμβάνοντας τον κατακερματισμό κωδικού πρόσβασης του λογαριασμού με βάση το όνομα χρήστη. Εάν η κρυπτογραφημένη πρόκληση είναι ίδια με αυτή που αποστέλλεται από τον διακομιστή, σημαίνει ότι ο χρήστης έχει τον σωστό κωδικό πρόσβασης και η επαλήθευση περνάει, διαφορετικά η επαλήθευση αποτυγχάνει. Ο ελεγκτής τομέα στέλνει τα αποτελέσματα επαλήθευσης στον διακομιστή και τελικά ανατροφοδοτεί τον πελάτη.
Άρθρα αναφοράς:
Η σύνδεση με υπερσύνδεσμο είναι ορατή.
Η σύνδεση με υπερσύνδεσμο είναι ορατή.
Η σύνδεση με υπερσύνδεσμο είναι ορατή.
|
Δημοσιεύτηκε στις 2020-9-5 13:28:14
|
|
|
|
