Wie sollte die NTLM-Authentifizierung auf Paketebene aussehen?

Download-Optionen

  • PDF     (235.9 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (82.7 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (68.4 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:9. Februar 2017
Dokument-ID:117931

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einleitung

In diesem Dokument wird die NT LAN Manager (NTLM)-Authentifizierung auf Paketebene beschrieben. 

Wie sollte die NTLM-Authentifizierung auf Paketebene aussehen?

Eine Paketerfassung für diesen Artikel können Sie hier herunterladen: https://supportforums.cisco.com/sites/default/files/attachments/document/ntlm_auth.zip

Client-IP: 10.122.142.190

WSA-IP: 10.122.144.182

Paketnummer und -details

#4 Der Client sendet eine GET-Anforderung an den Proxy.

#7 Der Proxy sendet eine 407 zurück. Das bedeutet, dass der Proxy aufgrund einer fehlenden ordnungsgemäßen Authentifizierung keinen Datenverkehr zulässt. Wenn Sie sich die HTTP-Header in dieser Antwort ansehen, sehen Sie einen "Proxy-Authenticate: NTLM". Dadurch wird der Client informiert, dass eine akzeptable Authentifizierungsmethode NTLM ist. Wenn der Header "Proxy-Authenticate: Basic" vorhanden ist, teilt der Proxy dem Client ebenfalls mit, dass die grundlegenden Anmeldedaten akzeptabel sind. Wenn beide Header vorhanden sind (gemeinsam), entscheidet der Client, welche Authentifizierungsmethode er verwendet.

Zu beachten ist, dass der Authentifizierungsheader "Proxy-Authenticate:" ist. Dies liegt daran, dass die Verbindung in der Erfassung einen expliziten Weiterleitungsproxy verwendet. Wäre dies eine transparente Proxy-Bereitstellung, würde der Antwortcode 401 anstatt 407 lauten, und die Header wären "www-Authenticate:" statt "proxy-Authenticate:".

#8 Der Proxy FINs dieser TCP-Socket. Das ist richtig und normal.

#15 Auf einem neuen TCP-Socket führt der Client eine weitere GET-Anforderung durch. Diesmal wird darauf hingewiesen, dass der GET-Header den HTTP-Header "proxy-authorization:" enthält. Dieser enthält eine codierte Zeichenfolge, die Details zum Benutzer/zur Domäne enthält.

Wenn Sie Proxy-Authorization > NTLMSSP erweitern, werden die decodierten Informationen in den NTLM-Daten gesendet. In der "NTLM Message Type", werden Sie feststellen, dass es sich um "NTLMSSP_NEGOTIATE" handelt. Dies ist der erste Schritt beim Drei-Wege-NTLM-Handshake.

#17 Der Proxy antwortet mit weiteren 407. Ein weiterer Header "proxy-Authenticate" ist vorhanden. Dieses Mal enthält es eine NTLM-Challenge-Zeichenfolge. Wenn Sie sie weiter erweitern, wird der NTLM-Nachrichtentyp "NTLMSSP_CHALLENGE" angezeigt. Dies ist der zweite Schritt beim Drei-Wege-NTLM-Handshake.

Bei der NTLM-Authentifizierung sendet der Windows-Domänencontroller eine Abfragezeichenfolge an den Client. Der Client wendet dann einen Algorithmus auf die NTLM-Herausforderung an, der das Kennwort des Benutzers dabei berücksichtigt. Auf diese Weise kann der Domänencontroller überprüfen, ob der Client das richtige Kennwort kennt, ohne das Kennwort jemals über die Leitung zu senden. Dies ist weitaus sicherer als grundlegende Anmeldedaten, bei denen das Kennwort für alle Sniffing-Geräte im Nur-Text-Format gesendet wird.

#18 Der Client sendet eine letzte GET-Anforderung. Beachten Sie, dass sich dieses GET auf demselben TCP-Socket befindet, auf dem die NTLM-Aushandlung und die NTLM-Herausforderung stattgefunden haben. Dies ist für den NTLM-Prozess von entscheidender Bedeutung. Der gesamte Handshake muss auf demselben TCP-Socket erfolgen, da die Authentifizierung andernfalls ungültig ist.

In dieser Anforderung sendet der Client die geänderte NTLM-Herausforderung (NTLM Response) an den Proxy. Dies ist der letzte Schritt beim Drei-Wege-NTLM-Handshake.

#21 Der Proxy sendet eine HTTP-Antwort zurück. Das bedeutet, dass der Proxy die Anmeldedaten akzeptiert und beschlossen hat, den Inhalt bereitzustellen.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
14-Jul-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Josh Wolfer
    Cisco TAC Engineer
  • Jeff Richmond
    Cisco TAC Engineer

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.