Denne artikkelen er en speilartikkel om maskinoversettelse, vennligst klikk her for å hoppe til originalartikkelen.

Architect_Programmer_Code Landbruksnettverket»Arkitekt Programmering Teknisk prat Windows NTLM-sertifiseringsprotokollprosess
Utsikt: 10977|Svare: 0

Windows NTLM-sertifiseringsprotokollprosess

[Kopier lenke]
Publisert 2020-9-5 13:28:14 | | | |
IIS tilbyr mange forskjellige autentiseringsteknologier. En av dem er integrasjonen av Windows-autentisering. Integrert Windows-autentisering utnytter forhandlings-Kerberos eller NTLM for å autentisere brukere basert på krypterte billettmeldinger som sendes mellom nettleseren og serveren.

Det vanligste bruksscenariet for NTLM-autentisering er sannsynligvis autentiseringen som brukes i nettlesere (http-protokollen). Men i realiteten spesifiserer NTLM kun autentiseringsprosessen og autentiseringsmeldingsformatet. Det er ikke relatert til spesifikke avtaler. Så det er ikke nødvendigvis noen forbindelse med http. Nettleseren bærer kun NTLM-meldingen på http-protokollens header og passerer autentiseringen. Vi vet at HTTP vanligvis er i klartekst, så hvis direkte overføring av passord er veldig usikker, forhindrer NTLM effektivt dette problemet.   

Sertifiseringsprosess



NTLM-autentisering krever tre trinn for å fullføre, og du kan se den detaljerte forespørselsprosessen gjennom Fiddler-verktøykassen.






Trinn 1

Brukeren logger inn på klientverten ved å skrive inn Windows-kontonummer og passord. Før innlogging cacher klienten hashen til det inngitte passordet, og det opprinnelige passordet kastes ("det opprinnelige passordet kan ikke caches under noen omstendigheter", dette er en grunnleggende sikkerhetsretningslinje). En bruker som logger inn på klientens Windows må sende en forespørsel til den andre parten hvis de prøver å få tilgang til serverressurser. Forespørselen inneholder et brukernavn i klartekst.

Steg 2

Når serveren mottar forespørselen, genererer den et 16-bits tilfeldig tall. Dette tilfeldige tallet kalles en utfordring eller nonce. Utfordringen lagres før serveren sender den til klienten. Utfordringer sendes i klartekst.


Trinn 3

Etter å ha mottatt utfordringen sendt tilbake fra serveren, krypterer klienten den med passordhashen lagret i steg 1, og sender deretter den krypterte utfordringen til serveren.


Trinn 4

Etter å ha mottatt den krypterte utfordringen sendt tilbake av klienten, sender serveren en autentiseringsforespørsel til klienten til DC (domene). Forespørselen inneholder hovedsakelig følgende tre innhold: klientbrukernavn; Utfordring og opprinnelig utfordring med kryptert klientpassordhash.


Trinn 5 og 6

DC krypterer den opprinnelige utfordringen ved å hente passordhashen til kontoen basert på brukernavnet. Hvis den krypterte utfordringen er den samme som den som sendes av serveren, betyr det at brukeren har riktig passord og verifiseringen består, ellers mislykkes verifiseringen. DC-en sender verifiseringsresultatene til serveren og gir til slutt tilbakemelding til klienten.


Referanseartikler:

Innloggingen med hyperkoblingen er synlig.
Innloggingen med hyperkoblingen er synlig.
Innloggingen med hyperkoblingen er synlig.




Foregående:Azure DevOps 2020 (III) begrenser søk (ES) minnefotavtrykk
Neste:Azure DevOps 2020 (II) Azure DevOps Server Express 2020 RC2 installation tutorial

Relaterte innlegg
Ansvarsfraskrivelse:
All programvare, programmeringsmateriell eller artikler publisert av Code Farmer Network er kun for lærings- og forskningsformål; Innholdet ovenfor skal ikke brukes til kommersielle eller ulovlige formål, ellers skal brukerne bære alle konsekvenser. Informasjonen på dette nettstedet kommer fra Internett, og opphavsrettstvister har ingenting med dette nettstedet å gjøre. Du må fullstendig slette innholdet ovenfor fra datamaskinen din innen 24 timer etter nedlasting. Hvis du liker programmet, vennligst støtt ekte programvare, kjøp registrering, og få bedre ekte tjenester. Hvis det foreligger noen krenkelse, vennligst kontakt oss på e-post.
Mail To:help@itsvse.com