セキュリティ : Cisco Web セキュリティ アプライアンス

NTLM 認証見えは何を水平にするパケットののように必要がありますか。

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

目次

Josh Wolfer およびジェフ リッチモンドによって貢献される、Cisco TAC エンジニア。
 

質問:

NTLM 認証見えは何を水平にするパケットののように必要がありますか。

ip.addr==165.2.2.129.158 クライアント
ip.addr==165.202.2.150 WSA>
 

パケット数/詳細:

#4 はプロキシにクライアント GET 要求を送信 します

#6 はプロキシ 407 を送返します。 これはプロキシが適切な認証の欠如によるトラフィックを可能にしていないことを意味します。 この応答の HTTP ヘッダを検知 する場合、「プロキシ認証するが表示されます: NTLM」。 これは受諾可能な認証方式が NTLM であることをクライアントに告げます。 同様に、ヘッダ「プロキシ認証する: 基本は」基本的な資格情報が受諾可能であるように、プロキシでありまクライアントに言います。 ヘッダが両方とも(よくある)あれば、クライアントはどの認証方式を使用するか決定します。

注意するべき 1 つの事柄は認証ヘッダーが「プロキシ認証するであることです: 」というエラー メッセージが表示されます。 これはキャプチャの接続が明示的 な前方プロキシを使用しているという理由によります。 これが透過的なプロキシ配備だった場合、応答コードは 407 の代りに 401、であり、ヘッダは「www 認証するです: プロキシ認証する」の代りに「: 」というエラー メッセージが表示されます。

#8 プロキシ FIN この TCP ソケット。 これは正しく、正常です。

新しい TCP ソケットの #15 はクライアント別の GET 要求を行います。 GET が HTTP ヘッダが「プロキシ許可含まれているという今回表記: 」というエラー メッセージが表示されます。 これはユーザ/ドメインに関する詳細が含まれているエンコードされた文字列を示します。
 

プロキシ許可 > NTLMSSP を拡張する場合、NTLM データで送信 されたデコードされた情報が表示されます。 「NTLM メッセージタイプではそれが「NTLMSSP_NEGOTIATE」であることに」、注意します。 これは 3 方法 NTLM ハンドシェイクの第一歩です。

#17 はもう 407 とプロキシ応答します。 もう一つの「プロキシ認証する」ヘッダはあります。 NTLM チャレンジ ストリングを示す今回。 それを更に拡張する場合、NTLM メッセージタイプが「NTLMSSP_CHALLENGE」であることを見ます。 これは 3 方法 NTLM ハンドシェイクの第2ステップです。

NTLM 認証では、Windows ドメインコントローラはクライアントにチャレンジ ストリングを伝送します。 クライアントはプロセスのユーザ パスワードで考慮する NTLM チャレンジにそれからアルゴリズムを加えます。 これはドメインコントローラがクライアントが行ことをを渡るパスワードを送信 しないで正しいパスワードを知っていることを確認することを可能にします。 これはパスワードがすべての探知 デバイスのための平文で見るために送信される大いにセキュアそして基本的な資格情報です。
#18 はクライアント最終的な GET を送信 します。 この GET が NTLM がネゴシエートする NTLM チャレンジはに発生しました同じ TCP ソケットにとあることに注目すれば。 これは NTLM プロセスに重要です。 全体のハンドシェイクは同じ TCP ソケットに発生する必要があります他では認証は無効です。
 
この要求でクライアントはプロキシへの修正された NTLM チャレンジ(NTLM 応答)を送信 します。 これは 3 方法 NTLM ハンドシェイクの最後の段階です。
#20 はプロキシ HTTP応答を送返します。 これはプロキシが資格情報を受け入れた意味し、ことをコンテンツを動作することにしました。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117931