Sécurité : Dispositifs de sécurité Web Cisco IronPort

Quelle est la différence entre NTLM et authentification LDAP ?

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Question

Quelle est la différence entre NTLM et authentification LDAP ?

Contribué par Josh Wolfer et Siddharth Rajpathak, ingénieurs TAC Cisco.

Environnement

Appliance de sécurité Web de Cisco (WSA), toutes les versions d'AsyncOS

L'authentification avec le WSA peut être décomposée en possibilités suivantes :

Client > WSA WSA > serveur d'authentification Type de serveur d'authentification
Authentification de baseAuthentification LDAPServeur LDAP
Authentification de baseAuthentification LDAPServeur de Répertoire actif utilisant le LDAP
Authentification de baseAuthentification de base NTLMServeur de Répertoire actif (NTLM de base)
Authentification NTLMAuthentification NTLMSSPServeur de Répertoire actif (NTLMSSP)

Remarque: NTLMSSP désigné généralement sous le nom de NTLM.

La différence remarquable entre l'authentification de base et l'authentification NTLM sont ci-dessous.

Expérience de client

De base

Le client sera toujours incité pour des qualifications. Après que des qualifications aient été entrées, les navigateurs offriront typiquement une case pour se souvenir les qualifications fournies. Quand le navigateur est fermé, le client incitera de nouveau ou enverra les qualifications de nouveau précédemment retrouvées.

Remarque: NTLM de base utilise l'authentification de base du client et aura ainsi les mêmes propriétés.

NTLM (SSP)

  • Le client authentifiera d'une manière transparente utilisant ses qualifications de connexion de Windows.
  • Les seuls cas en lesquels le client incitera pour des qualifications sont si les qualifications de Windows échouent d'abord (ceci se produiront si le client est ouvert une session localement à l'ordinateur et pas au domaine utilisé pour l'authentification) ou si le client ne fait pas confiance au WSA.

Sécurité

De base

Des qualifications sont envoyées peu sûr utilisant le texte brut. Une capture simple de paquet entre le client et le WSA indiquera le nom d'utilisateur et mot de passe de l'utilisateur.

NTLM (SSP)

Des qualifications sont envoyées sécurisé par l'intermédiaire d'une connexion en trois étapes (authentification de style de condensé). Le mot de passe n'est jamais envoyé à travers le fil.

Les aspects de processus NTLM en tant que tels :

  1. Le client envoie un NTLM négocient le paquet. Ceci indique le WSA que le client a l'intention de faire l'authentification NTLM.
  2. Le WSA envoie une chaîne de défi NTLM au client.
  3. Le client utilise un algorithme basé sur son mot de passe pour modifier le défi et envoie la réponse de défi au WSA.
  4. Le serveur d'AD vérifie alors que le client utilise le mot de passe correct basé en fonction s'il a modifié la chaîne de défi convenablement.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118487