Integrierte Windows -Authentifizierung

Integrierte Windows -Authentifizierung (Iwa)[1]ist ein Begriff, der mit verbunden ist Microsoft Produkte, die sich auf die beziehen Spnego, Kerberos, und Ntlmssp Authentifizierungsprotokolle in Bezug auf Sspi mit Microsoft eingeführte Funktionalität Windows 2000 und mit später eingeschlossen Windows NT-Basierte Betriebssysteme. Der Begriff wird häufiger für die automatisch authentifizierten Verbindungen zwischen Microsoft verwendet Internetinformationsdienste, Internet Explorer, und andere Active Directory Bewusstliche Anwendungen.

IWA ist auch unter mehreren Namen wie wie bekannt Http Authentifizierung verhandeln, NT -Authentifizierung,[2] NTLM -Authentifizierung,[3] Domänenauthentifizierung,[4] Windows -integrierte Authentifizierung,[5] Windows NT Challenge/Antwortauthentifizierung,[6] oder einfach Windows -Authentifizierung.

Überblick

Die integrierte Windows -Authentifizierung verwendet die Sicherheitsfunktionen von Windows -Clients und Servern. Im Gegensatz zur Basis- oder Digest -Authentifizierung fordert sie die Benutzer zunächst nicht auf einen Benutzernamen und ein Kennwort auf. Die aktuellen Windows -Benutzerinformationen auf dem Client -Computer werden vom Webbrowser über einen kryptografischen Austausch geliefert, an dem Hashing mit dem Webserver beteiligt ist. Wenn der Authentifizierungsaustausch den Benutzer zunächst nicht identifiziert, fordert der Webbrowser den Benutzer für einen Benutzernamen und das Kennwort eines Windows -Benutzerkontos auf.

Die integrierte Windows -Authentifizierung selbst ist kein Standard- oder Authentifizierungsprotokoll. Wenn IWA als Option eines Programms ausgewählt wird (z. B. innerhalb des Verzeichnissicherheit Tab der Iis Site -Eigenschaften Dialog)[7] Dies impliziert, dass zugrunde liegende Sicherheitsmechanismen in einer bevorzugten Reihenfolge verwendet werden sollten. Wenn die Kerberos Anbieter ist funktional und a Kerberos Ticket kann für das Ziel erhalten werden, und alle zugehörigen Einstellungen ermöglichen es Kerberos -Authentifizierung (z. B. Einstellungen für Intranet -Stellen in Internet Explorer) Das Kerberos 5 -Protokoll wird versucht. Andernfalls Ntlmssp Authentifizierung wird versucht. In ähnlicher Weise wird NTLMSSP versucht, wenn die Kerberos -Authentifizierung versucht wird und dennoch fehlschlägt, dann wird NTLMSSP versucht. Iwa verwendet Spnego Initiatoren und Akzeptoren zu ermöglichen, entweder Kerberos oder NTLMSSP zu verhandeln. Dienstprogramme von Drittanbietern haben das integrierte Windows -Authentifizierungsparadigma auf Unix-, Linux- und Mac -Systeme erweitert.

Unterstützte Webbrowser

Die integrierte Windows -Authentifizierung funktioniert mit den meisten modernen Webbrowsern.[8] funktioniert aber nicht über einige HTTP Proxy -Server.[7] Daher ist es am besten für die Verwendung in Intranets wo alle Kunden innerhalb eines einzigen sind Domain. Es kann mit anderen Webbrowsern funktionieren, wenn sie so konfiguriert wurden, dass sie die Anmeldeinformationen des Benutzers an den Server übergeben, der eine Authentifizierung anfordert. Wenn ein Proxy selbst eine NTLM-Authentifizierung erfordert, funktionieren einige Anwendungen wie Java möglicherweise nicht, da das Protokoll in RFC-2069 für die Proxy-Authentifizierung nicht beschrieben wird.

  • Internet Explorer 2 und spätere Versionen.[7]
  • Im Mozilla Firefox Unter Windows -Betriebssystemen können die Namen der Domänen/Websites, an denen die Authentifizierung übergeben werden soll, eingegeben werden (Comma für mehrere Domänen) für die "network.negotiate-auth.trusted-uris"(für Kerberos) oder in der"network.automatic-ntlm-auth.trusted-uris"(Ntlm) Präferenzname auf dem Über: Konfiguration Seite.[9] Auf den Macintosh -Betriebssystemen funktioniert dies, wenn Sie ein Kerberos -Ticket haben (verwenden Sie Verhandlungen). Einige Websites erfordern möglicherweise auch das Konfigurieren des "network.negotiate-auth.delegation-uris".
  • Oper 9.01 und spätere Versionen können NTLM/Verhandlungen verwenden, werden jedoch eine grundlegende oder digest -Authentifizierung verwenden, wenn dies vom Server angeboten wird.
  • Google Chrome Arbeitet ab 8,0.
  • Safari Arbeiten, sobald Sie ein Kerberos -Ticket haben.
  • Microsoft Edge 77 und später.[10]

Unterstützte mobile Browser

  • Bitzer Secure Browser Unterstützt Kerberos und NTLM SSO von iOS und Android. Sowohl Kinit als auch Pkinit werden unterstützt.

Siehe auch

  • Sspi (Schnittstelle zur Sicherheitsunterstützung)
  • Ntlm (NT LAN -Manager)
  • Spnego (Einfacher und geschützter GSSAPI -Verhandlungsmechanismus)
    • GSSAPI (Generic Security Services Application Program Interface)

Verweise

  1. ^ "Microsoft Security Advisory (974926) - Anmeldeinformationen Relaying -Angriffe auf die integrierte Windows -Authentifizierung". Microsoft Security TechCenter. 2009-12-08. Archiviert vom Original am 2013-06-19. Abgerufen 2012-11-16. Diese Beratung spricht [...] integrierte Windows -Authentifizierung (IWA) [...]
  2. ^ "Q147706: So deaktivieren Sie die LM -Authentifizierung unter Windows NT". Microsoft -Unterstützung. 2006-09-16. Archiviert vom Original am 2012-11-17. Abgerufen 2012-11-16. [...] Windows NT unterstützte zwei Arten der Herausforderung/Antwortauthentifizierung: [...] Lanmanager (LM) Herausforderung/Antwort [...] Windows NT Challenge/Response (auch als NTLM -Herausforderung/Antwort bekannt) [.. .] Die LM -Authentifizierung ist nicht so stark wie die Windows -NT -Authentifizierung [...]
  3. ^ "IIS Authentifizierung". Microsoft MSDN Library. Archiviert vom Original am 2012-11-28. Abgerufen 2012-11-16. Integrierte Windows -Authentifizierung (früher als NTLM -Authentifizierung bekannt [...]) [...]
  4. ^ "NTLM -Übersicht". Microsoft Technet. 2012-02-29. Archiviert vom Original am 2012-10-31. Abgerufen 2012-11-16. Wenn das NTLM -Protokoll verwendet wird, muss ein Ressourcenserver [...] einen Domänenauthentifizierungsdienst kontaktieren
  5. ^ "MSKB258063: Internet Explorer kann Sie für ein Passwort auffordern". Microsoft Corporation. Archiviert vom Original am 2012-10-21. Abgerufen 2012-11-16. Windows Integrated Authentication, Windows NT Challenge/Response (NTCR) und Windows NT LAN Manager (NTLM) sind gleich und werden in diesem Artikel synonym verwendet.
  6. ^ "IIS Authentifizierung". Microsoft MSDN Library. Archiviert vom Original am 2012-11-28. Abgerufen 2012-11-16. Integrierte Windows -Authentifizierung (früher bekannt als [...] Windows NT Challenge/Antwortauthentifizierung) [...]
  7. ^ a b c Microsoft Corporation. "Integrierte Windows -Authentifizierung (IIS 6.0)". IIS 6.0 Technische Referenz. Archiviert vom Original am 2009-08-23. Abgerufen 2009-08-30.
  8. ^ "Integrierte Windows -Authentifizierung - Gino -Pipeline - SLAC Confluence".
  9. ^ "About: Konfigurationseinträge". Mozillazin. 27. Januar 2012. Archiviert vom Original am 2012-03-04. Abgerufen 2012-03-02.
  10. ^ "Unterstützung und Konfiguration von Microsoft Edge Identity". Microsoft. 2020-07-15. Abgerufen 2020-09-09.

Externe Links