安全 : Cisco IronPort Web 安全设备

NTLM和LDAP认证有何区别?

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈

问题

NTLM和LDAP认证有何区别?

贡献用Josh Wolfer和Siddharth Rajpathak, Cisco TAC工程师。

环境

思科Web安全工具(WSA), AsyncOS所有版本

与WSA的验证可以被分解为以下可能性:

Client> WSA WSA >认证服务器 认证服务器类型
基本身份验证LDAP认证LDAP服务器
基本身份验证LDAP认证激活目录服务器使用LDAP
基本身份验证NTLM基本认证激活目录服务器(基本的NTLM)
NTLM验证NTLMSSP验证激活目录服务器(NTLMSSP)

注意:NTLMSSP通常指NTLM。

在基本认证和NTLM验证之间的显著的区别下面。

客户端体验

基本

永远将提示客户端输入凭证。在凭证被输入了后,浏览器将典型地提供复选框记住提供的凭证。在浏览器关闭时候,客户端再将提示或发送再以前记住的凭证。

注意:基本的NTLM使用从客户端的基本认证和因而有同样属性。

NTLM (SSP)

  • 使用其Windows登录凭证,客户端透明地将验证。
  • 客户端将提示输入凭证的唯一的案件是,如果Windows凭证首先发生故障(这将发生,如果客户端登陆本地到计算机和不对用于验证的域)或,如果客户端不委托WSA。

安全

基本

使用纯文本,凭证不安全发送。在客户端和WSA之间的一个简单信息包捕获将显示用户的用户名和密码。

NTLM (SSP)

凭证通过三方握手(摘要样式验证)安全地发送。密码在电线间从未被发送。

NTLM进程查找象这样:

  1. 客户端发送NTLM协商数据包。这告诉客户端打算执行NTLM验证的WSA。
  2. WSA发送NTLM挑战字符串给客户端。
  3. 客户端使用根据其密码的一种算法修改挑战并且发送对WSA的质询响应。
  4. AD服务器然后验证客户端使用基于的正确密码是否修改了挑战字符串适当地。


Document ID: 118487