Este artículo es un artículo espejo de traducción automática, por favor haga clic aquí para saltar al artículo original.

Architect_Programmer_Code Red Agrícola»Arquitecto Programación Charla técnica Proceso de Protocolo de Certificación NTLM de Windows
Vista: 10977|Respuesta: 0

Proceso de Protocolo de Certificación NTLM de Windows

[Copiar enlace]
Publicado el 5-9-2020 13:28:14 | | | |
IIS ofrece muchas tecnologías de autenticación diferentes. Una de ellas es la integración de la autenticación de Windows. La autenticación integrada de Windows aprovecha la negociación Kerberos o NTLM para autenticar a los usuarios basándose en mensajes de tickets cifrados que se pasan entre el navegador y el servidor.

El escenario de aplicación más común de la autenticación NTLM es probablemente la autenticación utilizada en navegadores (protocolo http). Pero en realidad, NTLM solo especifica el proceso de autenticación y el formato del mensaje de autenticación. No está relacionado con acuerdos específicos. Así que no hay necesariamente una conexión con http. El navegador solo transporta el mensaje NTLM en la cabecera del protocolo http y pasa la autenticación. Sabemos que http suele estar en texto plano, así que si la transmisión directa de contraseñas es muy insegura, NTLM evita efectivamente este problema.   

Proceso de certificación



La autenticación NTLM requiere tres pasos para completarse, y puedes ver el proceso detallado de solicitud a través de la caja de herramientas Fiddler.






Paso 1

El usuario inicia sesión en el host del cliente introduciendo el número de cuenta de Windows y la contraseña. Antes de iniciar sesión, el cliente almacena en caché el hash de la contraseña introducida y se descarta la contraseña original ("la contraseña original no puede almacenarse en caché bajo ninguna circunstancia", esta es una pauta básica de seguridad). Un usuario que logre iniciar sesión con éxito en el cliente de Windows debe enviar una solicitud a la otra parte si intenta acceder a los recursos del servidor. La solicitud contiene un nombre de usuario en texto plano.

Paso 2

Cuando el servidor recibe la solicitud, genera un número aleatorio de 16 bits. Este número aleatorio se llama desafío o nonce. El desafío se guarda antes de que el servidor lo envíe al cliente. Los desafíos se envían en texto plano.


Paso 3

Tras recibir el desafío enviado de vuelta por el servidor, el cliente lo cifra con el hash de contraseña guardado en el paso 1 y luego envía el desafío cifrado al servidor.


Paso 4

Tras recibir el desafío cifrado enviado de vuelta por el cliente, el servidor envía una solicitud de autenticación al cliente al DC (Dominio). La solicitud incluye principalmente los siguientes tres contenidos: nombre de usuario del cliente; Desafío y desafío original con hash de contraseña cifrada del cliente.


Pasos 5 y 6

DC cifra el desafío original obteniendo el hash de la contraseña de la cuenta basado en el nombre de usuario. Si el desafío cifrado es el mismo que el enviado por el servidor, significa que el usuario tiene la contraseña correcta y la verificación pasa; de lo contrario, la verificación falla. El DC envía los resultados de verificación al servidor y finalmente responde al cliente.


Artículos de referencia:

El inicio de sesión del hipervínculo es visible.
El inicio de sesión del hipervínculo es visible.
El inicio de sesión del hipervínculo es visible.




Anterior:Azure DevOps 2020 (III) limita la huella de memoria de búsqueda (ES)
Próximo:Azure DevOps 2020 (II) Azure DevOps Server Express 2020 RC2 tutorial de instalación

Publicaciones relacionadas
Renuncia:
Todo el software, materiales de programación o artículos publicados por Code Farmer Network son únicamente para fines de aprendizaje e investigación; El contenido anterior no se utilizará con fines comerciales o ilegales; de lo contrario, los usuarios asumirán todas las consecuencias. La información de este sitio proviene de Internet, y las disputas de derechos de autor no tienen nada que ver con este sitio. Debes eliminar completamente el contenido anterior de tu ordenador en un plazo de 24 horas desde la descarga. Si te gusta el programa, por favor apoya el software genuino, compra el registro y obtén mejores servicios genuinos. Si hay alguna infracción, por favor contáctanos por correo electrónico.
Mail To:help@itsvse.com