Dit artikel is een spiegelartikel van machinevertaling, klik hier om naar het oorspronkelijke artikel te gaan.

Architect_Programmer_Code Landbouwnetwerk»Architect Programmeren Technische chat Windows NTLM Certificeringsprotocolproces
Bekijken: 10977|Antwoord: 0

Windows NTLM Certificeringsprotocolproces

[Link kopiëren]
Geplaatst op 5-9-2020 13:28:14 | | | |
IIS biedt veel verschillende authenticatietechnologieën. Een daarvan is de integratie van Windows-authenticatie. Geïntegreerde Windows-authenticatie maakt gebruik van onderhandelings-Kerberos of NTLM om gebruikers te authenticeren op basis van versleutelde ticketberichten die tussen de browser en de server worden verzonden.

Het meest voorkomende toepassingsscenario van NTLM-authenticatie is waarschijnlijk de authenticatie die in browsers wordt gebruikt (http-protocol). Maar in werkelijkheid specificeert NTLM alleen het authenticatieproces en het authenticatieberichtformaat. Het heeft geen betrekking op specifieke overeenkomsten. Er is dus niet per se een verbinding met http. De browser draagt alleen het NTLM-bericht op de http-protocolheader en slaagt daardoor voor de authenticatie. We weten dat HTTP meestal in platte tekst is, dus als de directe overdracht van wachtwoorden erg onveilig is, voorkomt NTLM dit probleem effectief.   

Certificeringsproces



NTLM-authenticatie vereist drie stappen om te voltooien, en je kunt het gedetailleerde aanvraagproces bekijken via de Fiddler Toolbox.






Stap 1

De gebruiker logt in bij de clienthost door het Windows-accountnummer en wachtwoord in te voeren. Voordat je inloggt, cachet de client de hash van het ingevoerde wachtwoord en wordt het originele wachtwoord verwijderd ("het originele wachtwoord mag onder geen enkele omstandigheid worden gecachet", dit is een basisrichtlijn voor beveiliging). Een gebruiker die succesvol inlogt op de client Windows, moet een verzoek naar de andere partij sturen als deze probeert toegang te krijgen tot serverbronnen. Het verzoek bevat een gebruikersnaam in platte tekst.

Stap 2

Wanneer de server het verzoek ontvangt, genereert hij een willekeurig getal van 16 bits. Dit willekeurige getal wordt een challenge of nonce genoemd. De uitdaging wordt opgeslagen voordat de server deze naar de client stuurt. Uitdagingen worden in platte tekst verstuurd.


Stap 3

Nadat de challenge is teruggestuurd door de server, versleutelt de client deze met de wachtwoordhash die in stap 1 is opgeslagen, en stuurt vervolgens de versleutelde challenge naar de server.


Stap 4

Na ontvangst van de versleutelde uitdaging die door de client wordt teruggestuurd, stuurt de server een authenticatieverzoek naar de client naar de DC (domein). Het verzoek bevat voornamelijk de volgende drie inhoud: gebruikersnaam van de klant; Challenge en originele challenge met versleutelde client wachtwoord-hash.


Stappen 5 en 6

DC versleutelt de oorspronkelijke uitdaging door de wachtwoordhash van het account te verkrijgen op basis van de gebruikersnaam. Als de versleutelde uitdaging hetzelfde is als die van de server, betekent dit dat de gebruiker het juiste wachtwoord heeft en de verificatie slaagt, anders faalt de verificatie. De DC stuurt de verificatieresultaten naar de server en geeft uiteindelijk terug aan de client.


Referentieartikelen:

De hyperlink-login is zichtbaar.
De hyperlink-login is zichtbaar.
De hyperlink-login is zichtbaar.




Vorig:Azure DevOps 2020 (III) beperkt search (ES) geheugenvoetafdruk
Volgend:Azure DevOps 2020 (II) Azure DevOps Server Express 2020 RC2 installation tutorial

Gerelateerde berichten
Disclaimer:
Alle software, programmeermaterialen of artikelen die door Code Farmer Network worden gepubliceerd, zijn uitsluitend bedoeld voor leer- en onderzoeksdoeleinden; De bovenstaande inhoud mag niet worden gebruikt voor commerciële of illegale doeleinden, anders dragen gebruikers alle gevolgen. De informatie op deze site komt van het internet, en auteursrechtconflicten hebben niets met deze site te maken. Je moet bovenstaande inhoud volledig van je computer verwijderen binnen 24 uur na het downloaden. Als je het programma leuk vindt, steun dan de echte software, koop registratie en krijg betere echte diensten. Als er sprake is van een inbreuk, neem dan contact met ons op via e-mail.
Mail To:help@itsvse.com