Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску
Для использования в других целях, см IWA (значения) .

Интегрированная проверка подлинности Windows ( IWA ) [1] - это термин, связанный спродуктами Microsoft, который относится к протоколам проверки подлинности SPNEGO , Kerberos и NTLMSSP в отношениифункциональности SSPI, представленной в Microsoft Windows 2000 и включенной в более поздниеоперационные системы на базе Windows NT . Этот термин чаще используется для соединений с автоматической аутентификацией между Microsoft Internet Information Services , Internet Explorer и другимиприложениями, поддерживающими Active Directory .

МАТ также известен под несколькими названиями , как HTTP Negotiate аутентификации , NT Authentication , [2] NTLM аутентификации , [3] Аутентификация домена , [4] встроенную проверку подлинности Windows , [5] проверка подлинности Windows NT Challenge / Response , [6] или просто для Windows Аутентификация .

Обзор [ править ]

Дополнительная информация: SPNEGO , Kerberos (протокол) , NTLMSSP , NTLM , SSPI и GSSAPI

Встроенная проверка подлинности Windows использует функции безопасности клиентов и серверов Windows. В отличие от обычной или дайджест-аутентификации, изначально она не запрашивает у пользователей имя пользователя и пароль. Информация о текущем пользователе Windows на клиентском компьютере предоставляется веб-браузером посредством криптографического обмена, включающего хеширование с веб-сервером. Если аутентификационный обмен изначально не может идентифицировать пользователя, веб-браузер предложит пользователю ввести имя пользователя и пароль учетной записи Windows.

Сама по себе встроенная проверка подлинности Windows не является стандартом или протоколом проверки подлинности. Когда IWA выбирается в качестве опции программы (например, на вкладке « Безопасность каталога » диалогового окна свойств сайта IIS ) [7], это означает, что лежащие в основе механизмы безопасности должны использоваться в приоритетном порядке. Если провайдер Kerberos функционирует и билет Kerberos может быть получен для цели, и любые связанные параметры разрешают проверку подлинности Kerberos (например, параметры сайтов интрасети в Internet Explorer ), будет предпринята попытка протокола Kerberos 5. В противном случае NTLMSSPвыполняется попытка аутентификации. Точно так же, если попытка проверки подлинности Kerberos не удалась, выполняется попытка NTLMSSP. IWA использует SPNEGO, чтобы позволить инициаторам и получателям согласовывать Kerberos или NTLMSSP. Сторонние утилиты расширили парадигму интегрированной аутентификации Windows на системы UNIX, Linux и Mac.

Поддерживаемые веб-браузеры [ править ]

Встроенная проверка подлинности Windows работает с большинством современных веб-браузеров [8], но не работает на некоторых прокси-серверах HTTP . [7] Поэтому его лучше всего использовать в интрасетях, где все клиенты находятся в одном домене . Он может работать с другими веб-браузерами, если они настроены на передачу учетных данных пользователя на сервер, запрашивающий аутентификацию. Если для самого прокси требуется проверка подлинности NTLM, некоторые приложения, такие как Java, могут не работать, поскольку протокол для проверки подлинности прокси не описан в RFC-2069.

  • Internet Explorer 2 и более поздние версии. [7]
  • В Mozilla Firefox в операционных системах Windows имена доменов / веб-сайтов, на которые должна проходить аутентификация, могут быть введены (через запятую для нескольких доменов) для « network.negotiate-auth.trusted-uris » (для Kerberos) или в имени предпочтения " network.automatic-ntlm-auth.trusted-uris " (NTLM) на странице about: config . [9] В операционных системах Macintosh это работает, если у вас есть билет Kerberos (используйте согласование). Для некоторых веб-сайтов может также потребоваться настройка « network.negotiate-auth.delegation-uris ».
  • Opera 9.01 и более поздние версии могут использовать NTLM / Negotiate, но будут использовать обычную или дайджест-аутентификацию, если это предлагается сервером.
  • Google Chrome работает с версии 8.0.
  • Safari работает, если у вас есть билет Kerberos.
  • Microsoft Edge 77 и новее. [10]

Поддерживаемые мобильные браузеры [ править ]

  • Bitzer Secure Browser поддерживает Kerberos и NTLM SSO с iOS и Android. Поддерживаются как KINIT, так и PKINIT.

См. Также [ править ]

  • SSPI (интерфейс поставщика поддержки безопасности)
  • NTLM (NT Lan Manager)
  • SPNEGO (простой и защищенный механизм согласования GSSAPI)
    • GSSAPI (интерфейс прикладной программы общих служб безопасности)

Ссылки [ править ]

  1. ^ «Microsoft Security Advisory (974926) - Атаки ретрансляции учетных данных на встроенную проверку подлинности Windows» . Технический центр безопасности Майкрософт. 2009-12-08. Архивировано 19 июня 2013 года . Проверено 16 ноября 2012 . Этот совет касается [...] встроенной проверки подлинности Windows (IWA) [...]
  2. ^ «Q147706: Как отключить аутентификацию LM в Windows NT» . Служба поддержки Microsoft. 2006-09-16. Архивировано 17 ноября 2012 года . Проверено 16 ноября 2012 . [...] Windows NT поддерживает два типа проверки подлинности запрос / ответ: [...] запрос / ответ LanManager (LM) [...] запрос / ответ Windows NT (также известный как запрос / ответ NTLM) [.. .] LM-аутентификация не так сильна, как аутентификация Windows NT [...]
  3. ^ «Аутентификация IIS» . Библиотека Microsoft MSDN. Архивировано 28 ноября 2012 года . Проверено 16 ноября 2012 . Встроенная проверка подлинности Windows (ранее известная как проверка подлинности NTLM [...]) [...]
  4. ^ «Обзор NTLM» . Microsoft TechNet. 2012-02-29. Архивировано 31 октября 2012 года . Проверено 16 ноября 2012 . При использовании протокола NTLM сервер ресурсов должен [...] связаться со службой аутентификации домена.
  5. ^ «MSKB258063: Internet Explorer может запросить пароль» . Корпорация Майкрософт. Архивировано 21 октября 2012 года . Проверено 16 ноября 2012 . Встроенная проверка подлинности Windows, Windows NT Challenge / Response (NTCR) и Windows NT LAN Manager (NTLM) идентичны и используются в этой статье как синонимы.
  6. ^ «Аутентификация IIS» . Библиотека Microsoft MSDN. Архивировано 28 ноября 2012 года . Проверено 16 ноября 2012 . Встроенная проверка подлинности Windows (ранее известная как проверка подлинности запроса / ответа [...] Windows NT) [...]
  7. ^ a b c Корпорация Microsoft. «Встроенная проверка подлинности Windows (IIS 6.0)» . Технический справочник по IIS 6.0 . Архивировано 23 августа 2009 года . Проверено 30 августа 2009 .
  8. ^ http://confluence.slac.stanford.edu/display/Gino/Integrated+Windows+Authentication
  9. ^ "О: записи конфигурации" . MozillaZine . 27 января 2012. Архивировано 04 марта 2012 года . Проверено 2 марта 2012 .
  10. ^ «Поддержка и настройка идентификации Microsoft Edge» . Microsoft . 2020-07-15 . Проверено 9 сентября 2020 .

Внешние ссылки [ править ]

  • Обсуждение IWA в техническом справочнике Microsoft IIS 6.0