АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ
ТехнологииИнфраструктура и безопасностьДоступ, приватность и защита данныхИнтегрированная аутентификация Windows

Интегрированная аутентификация Windows

Экспертиза РАН

Logo-ran-black.png
Проведена экспертиза
Российской академией наук
Подробнее
Aprove.svg

Экспертиза РАН

Arrow-Right.png
Logo-ran.png
Проведена экспертиза
Российской академией наук
Подробнее

Интегрированная аутентификация Windows (англ. Integrated Windows Authentication, IWA)[1] — термин, связанный с продуктами Microsoft, который обозначает применение протоколов аутентификации SPNEGO, Kerberos и NTLMSSP в контексте работы интерфейса поддержки поставщиков безопасности (SSPI), впервые реализованного в Microsoft Windows 2000 и включённого во все более поздние операционные системы семейства Windows NT. Этот термин чаще всего используется для автоматической аутентификации соединений между сервером Internet Information Services, браузером Internet Explorer и другими приложениями, поддерживающими Active Directory.

Интегрированная аутентификация Windows также известна под названиями: Negotiate-аутентификация HTTP, NT-аутентификация[2], NTLM-аутентификация[3], Аутентификация домена[4], Интегрированная аутентификация Windows[5], Аутентификация Windows NT Challenge/Response[6] или Аутентификация Windows.

Общее описание

Интегрированная аутентификация Windows использует механизмы безопасности клиентов и серверов Windows. В отличие от основной аутентификации или Digest-аутентификации, первоначально пользователю не предлагается ввести имя пользователя и пароль: сведения о текущем пользователе Windows на клиентском компьютере передаются веб-браузером на сервер посредством криптографического обмена с использованием хеширования. Если обмен не позволил корректно идентифицировать пользователя, браузер запросит у пользователя имя учётной записи и пароль Windows.

Сама по себе интегрированная аутентификация Windows не является стандартом или отдельным протоколом аутентификации. При выборе данной опции в настройках программного обеспечения (например, на вкладке Directory Security в свойствах сайта IIS)[7] используются базовые механизмы безопасности в предпочтительном порядке. Если возможна работа с Kerberos и может быть получен билет Kerberos для целевого ресурса (и соответствующие настройки, например для интранет-сайтов в Internet Explorer, это позволяют), приоритет отдаётся протоколу Kerberos версии 5. В противном случае, используется аутентификация NTLMSSP. Аналогично, если попытка Kerberos-аутентификации не удалась, инициируется NTLMSSP. Для выбора между механизмами Kerberos и NTLMSSP используется SPNEGO. Сторонние утилиты расширяют возможности интегрированной аутентификации Windows на платформы UNIX, Linux и macOS.

Поддерживаемые веб-браузеры

Интегрированная аутентификация Windows поддерживается большинством современных веб-браузеров[8], однако не работает через некоторые HTTP-прокси-серверы[7]. Поэтому данный способ целесообразен в интранетах, где все клиенты находятся в едином домене Windows. В других случаях интеграция возможна при дополнительной настройке браузеров для передачи учётных данных пользователя на сервер аутентификации. Если же прокси-сервер требует NTLM-аутентификации, например некоторые Java-приложения могут не работать, так как протокол NTLM не описан в RFC-2069 для прокси-аутентификации.

  • Internet Explorer 2 и более поздние версии[7].
  • В Mozilla Firefox на операционных системах Windows для передачи аутентификации конкретным доменам/сайтам их имена указываются через запятую в параметрах network.negotiate-auth.trusted-uris (для Kerberos) или network.automatic-ntlm-auth.trusted-uris (NTLM) на странице about:config[9]. На macOS механизм работает при наличии Kerberos-билета (используется negotiate). Некоторые сайты могут требовать дополнительной настройки network.negotiate-auth.delegation-uris.
  • Opera 9.01 и новее поддерживают NTLM/Negotiate, однако используют Basic или Digest-аутентификацию, если сервер также их предлагает.
  • Google Chrome поддерживает IWA начиная с версии 8.0.
  • Safari поддерживает схему после получения Kerberos-билета.
  • Microsoft Edge 77 и новее[10].

Поддерживаемые мобильные браузеры

В iOS поддержка Kerberos реализована на уровне системы посредством расширения Kerberos Single Sign-on. Настройка этого расширения позволяет использовать Kerberos в Safari и Edge.

В Android реализована поддержка SPNEGO в Chrome, что даёт возможность использовать Kerberos совместно с такими решениями, как Hypergate Authenticator.

Примечания

  1. Microsoft Security Advisory (974926) — Credential Relaying Attacks on Integrated Windows Authentication. Microsoft Security TechCenter (8 декабря 2009). — «This advisory addresses [...] Integrated Windows Authentication (IWA) [...]». Дата обращения: 9 июня 2024. Архивировано 19 июня 2013 года.
  2. Q147706: Как отключить LM-аутентификацию в Windows NT. Microsoft Support (16 сентября 2006). — «[...] Windows NT поддерживает два типа challenge/response-аутентификации: [...] LanManager (LM) challenge/response [...] Windows NT challenge/response (также известная как NTLM challenge/response) [...] LM-аутентификация менее надёжна, чем аутентификация Windows NT [...]». Дата обращения: 9 июня 2024. Архивировано 17 ноября 2012 года.
  3. Аутентификация в IIS. Microsoft MSDN Library. — «Integrated Windows authentication (formerly known as NTLM authentication [...]) [...]». Дата обращения: 9 июня 2024. Архивировано 28 ноября 2012 года.
  4. Обзор NTLM. Microsoft TechNet (29 февраля 2012). — «When the NTLM protocol is used, a resource server must [...] Contact a domain authentication service». Дата обращения: 9 июня 2024. Архивировано 31 октября 2012 года.
  5. MSKB258063: Internet Explorer может запрашивать у вас пароль. Microsoft Corporation. — «Windows Integrated authentication, Windows NT Challenge/Response (NTCR) и Windows NT LAN Manager (NTLM) — это одно и то же и используются синонимично в этой статье.» Дата обращения: 9 июня 2024. Архивировано 21 октября 2012 года.
  6. Аутентификация в IIS. Microsoft MSDN Library. — «Integrated Windows authentication (formerly known as [...] Windows NT Challenge/Response authentication) [...]». Дата обращения: 9 июня 2024. Архивировано 28 ноября 2012 года.
  7. 1 2 3 Microsoft Corporation. Integrated Windows Authentication (IIS 6.0). IIS 6.0 Technical Reference. Дата обращения: 9 июня 2024. Архивировано 23 августа 2009 года.
  8. Integrated Windows Authentication — Gino Pipeline — SLAC Confluence. Дата обращения: 9 июня 2024.
  9. About:config entries. MozillaZine (27 января 2012). Дата обращения: 9 июня 2024. Архивировано 4 марта 2012 года.
  10. Microsoft Edge: поддержка идентификации и её настройка. Microsoft (15 июля 2020). Дата обращения: 9 июня 2024.

Категории