Denna artikel är en spegelartikel om maskinöversättning, klicka här för att hoppa till originalartikeln.

Architect_Programmer_Code Jordbruksnätverket»Arkitekt Programmering Teknisk chatt Windows NTLM-certifieringsprotokollprocess
Utsikt: 10977|Svar: 0

Windows NTLM-certifieringsprotokollprocess

[Kopiera länk]
Publicerad den 2020-9-5 13:28:14 | | | |
IIS erbjuder många olika autentiseringsteknologier. En av dem är integrationen av Windows-autentisering. Integrerad Windows-autentisering utnyttjar förhandlings-Kerberos eller NTLM för att autentisera användare baserat på krypterade ärendemeddelanden som skickas mellan webbläsaren och servern.

Det vanligaste tillämpningsscenariot för NTLM-autentisering är troligen autentiseringen som används i webbläsare (http-protokoll). Men i verkligheten specificerar NTLM endast autentiseringsprocessen och autentiseringsmeddelandeformatet. Det är inte relaterat till specifika avtal. Så det finns inte nödvändigtvis någon koppling till http. Webbläsaren bär endast NTLM-meddelandet på http-protokollets header och klarar autentiseringen. Vi vet att HTTP vanligtvis är i klartext, så om direktöverföring av lösenord är mycket osäker, förhindrar NTLM effektivt detta problem.   

Certifieringsprocess



NTLM-autentisering kräver tre steg för att slutföra, och du kan se den detaljerade förfrågningsprocessen via Fiddler-verktygslådan.






Steg 1

Användaren loggar in på klientvärden genom att ange Windows-kontonummer och lösenord. Innan inloggning cachar klienten hashen av det angavna lösenordet, och det ursprungliga lösenordet kasseras ("det ursprungliga lösenordet får inte cachelagras under några omständigheter", detta är en grundläggande säkerhetsriktlinje). En användare som lyckas logga in på klienten Windows måste skicka en förfrågan till den andra parten om de försöker komma åt serverresurser. Förfrågan innehåller ett användarnamn i klartext.

Steg 2

När servern tar emot förfrågan genererar den ett 16-bitars slumpnummer. Detta slumpmässiga nummer kallas en utmaning eller nonce. Utmaningen sparas innan servern skickar den till klienten. Utmaningar skickas i klartext.


Steg 3

Efter att ha mottagit utmaningen som skickats tillbaka av servern krypterar klienten den med lösenordshashen sparad i steg 1 och skickar sedan den krypterade utmaningen till servern.


Steg 4

Efter att ha mottagit den krypterade utmaningen som skickas tillbaka av klienten, skickar servern en autentiseringsförfrågan till klienten till DC (domänen). Förfrågan innehåller huvudsakligen följande tre innehåll: klientanvändarnamn; Utmaning och ursprunglig utmaning med krypterad klientlösenordshash.


Steg 5 och 6

DC krypterar den ursprungliga utmaningen genom att hämta lösenordshashen för kontot baserat på användarnamnet. Om den krypterade utmaningen är densamma som den som skickas från servern betyder det att användaren har rätt lösenord och verifieringen går igenom, annars misslyckas verifieringen. Distributionscentralen skickar verifieringsresultaten till servern och skickar slutligen tillbaka till klienten.


Referensartiklar:

Inloggningen med hyperlänken är synlig.
Inloggningen med hyperlänken är synlig.
Inloggningen med hyperlänken är synlig.




Föregående:Azure DevOps 2020 (III) begränsar sök (ES) minnesfotavtryck
Nästa:Azure DevOps 2020 (II) Azure DevOps Server Express 2020 RC2 installation tutorial

Relaterade inlägg
Friskrivning:
All programvara, programmeringsmaterial eller artiklar som publiceras av Code Farmer Network är endast för lärande- och forskningsändamål; Ovanstående innehåll får inte användas för kommersiella eller olagliga ändamål, annars kommer användarna att bära alla konsekvenser. Informationen på denna sida kommer från internet, och upphovsrättstvister har inget med denna sida att göra. Du måste helt radera ovanstående innehåll från din dator inom 24 timmar efter nedladdning. Om du gillar programmet, vänligen stöd äkta programvara, köp registrering och få bättre äkta tjänster. Om det finns något intrång, vänligen kontakta oss via e-post.
Mail To:help@itsvse.com