Cunoaște Intuit, curs, autentificare

Autentificarea integrată pentru Windows

Autentificarea integrată Windows este metoda cea mai sigură de autentificare, dar este disponibil doar în Internet Explorer. Acest tip de autentificare a fost cunoscut anterior ca NTLM sau Windows NT autentificare întrebare / răspuns. Când integrat pentru Windows browser-ul client de autentificare se verifică pe server printr-un schimb de date criptografică ..

Câteva cuvinte despre Microsoft Negociați

Microsoft Negociati este o interfață pachet de servicii între diferiți furnizori de servicii de suport de securitate. El poate face o alegere între diferitele pachete de autentificare. IIS utilizează pachetul de autentificare Negociere, iar în acest caz, alegerea protocolului Kerberos sau protocolul NTLM. Acest pachet, de asemenea, adaugă suport pentru viitoarele pachete de autentificare. care este un avantaj Negociati. Implicit Negociați selectează Kerberos ca protocolul cel mai sigur. Dacă, din orice motiv, protocolul Kerberos nu este disponibil, atunci Negociați înapoi la utilizarea NTLM.

NTLM

NTML este o versiune îmbunătățită a vechiului protocol de autentificare LM (LAN Manager). NTML lucra prin întrebări / răspunsuri între client și server fără a transfera parola utilizatorului prin rețea în text clar. Clientul trebuie să confirme că știe parola utilizatorului prin trimiterea unui hash criptat.

NTML funcționează după cum urmează.

  1. Utilizatorul specifică numele de utilizator, parola și numele de domeniu atunci când se conectează la computerul client.
  2. Clientul creează un hash al parolei și îndepărtați originalul.
  3. Clientul trimite serverului numele de utilizator în text simplu.
  4. Serverul trimite la fragmentul de 16-biți client date aleatoare.
  5. Clientul criptează această piesă, precum și parola hash al utilizatorului și le transmite la server.
  6. Serverul transmite un nume de utilizator, o bucată aleatoriu de date și răspunsul clientului la un controler de domeniu.
  7. Controlerul de domeniu criptează Segmentele de date aleatoare cu propria sa hash al parolei utilizatorului, și apoi le compară cu elementele trimise de server.
  8. În cazul în care valorile se potrivesc, controlerul de domeniu notifică serverul cu privire la finalizarea cu succes a autentificării.
  9. În cazul în care valoarea sau numele de utilizator nu se potrivesc, controlerul de domeniu notifică serverul pe care clientul trimite un mesaj. După aceea, browser-ul client solicită utilizatorului pentru informațiile de autentificare.

autentificarea Kerberos

În mitologia greacă, Kerberos - un fabulos câine cu trei capete care păzea lumea interlopă a oamenilor. În prezent, termenul se numește protocolul de autentificare Kerberos pentru accesul securizat la resursele. autentificarea Kerberos se bazează pe o cheie secretă cu care clientul și serverul să utilizeze aceeași cheie pentru criptare și decriptare. Clientul dovedește cunoașterea cheii prin criptarea mesajelor, iar serverul dovedește cunoașterea cheii prin decriptarea mesajului. Serverul apoi ia parte a mesajului, criptează-l si trimite-l la client. Menținând în același timp integritatea rezultatului autentificarea mesajelor va fi pozitiv.

munca Kerberos se bazează pe un server central, numit Distribution Key Center (KDC) (Key Distribution Center), care oferă toate cheile necesare. KDC produce așa-numitul TGT bilet (Bilete bilet de acordare) ( „Bilete pentru bilete“) și oferă clienților lor care solicită acces la o resursă pe server.

În continuare, procesul de obținere a TGT bilet de intrare client.

Acum, clientul are un TGT, și el poate folosi pentru a obține bilete pentru acces la resurse. Iată cum se întâmplă.

  1. Clientul solicită un bilet de la KDC pentru a accesa resursele de pe server. Clientul oferă centrul său TGT KDC împreună cu numele resursei dorite, iar mesajul de autentificare criptat la intrare cheie de sesiune.
  2. KDC decriptează TGT cu ajutorul cheii standard extrage de intrare-cheie de sesiune și o folosește pentru a decripta mesajele de autentificare. În cazul în care coincide cu o autenticitate a clientului de referință este confirmat.
  3. KDC creează un serviciu cheie de sesiune pentru client, pentru depunerea la server la prezentarea unei cereri de resurse, și criptează serviciul cheie de sesiune la cheie de conectare client sesiune.
  4. KDC criptează intrarea cheie de sesiune, folosind o cheie de referință a serverului, rezultând într-un bilet.
  5. KDC oferă clientului ambele bucăți de date de autentificare pentru client, care decriptează cheia de sesiune cu cheia de sesiune de conectare și stochează cheia de sesiune și serviciul de bilete în cache.

Acum, clientul are un bilet, cu care acesta are acces la resursele de pe server.

  1. Clientul trimite serverului un mesaj bilet de sesiune și de autentificare criptate în modul sesiune de serviciu.
  2. Serverul decriptează biletul sesiunii și verifică ștampila de timp la cererea clientului (valoarea de timbru trebuie să fie un interval de timp propriul server de cinci minute). Serverul primește apoi un bilet de la această cheie de sesiune.
  3. Serverul criptează ștampila de timp a biletului de sesiune a cheii de sesiune, și apoi trimite-l la client.
  4. Clientul decriptează mesajul, și compară ștampila de timp a originalului. Dacă totul se potrivește, procesul de autentificare se termină cu succes.

Acesta este un proces foarte complicat, dar asigură autenticitatea fiecărei persoane care stabilește conexiunea. Evident, KDC-ul joacă un rol important în acest proces, deci trebuie să se asigure securitatea KDC.

articole similare