Безопасность : устройство защиты веб-трафика Cisco

Каково различие между NTLM и проверкой подлинности LDAP?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Вопрос

Каково различие между NTLM и проверкой подлинности LDAP?

Внесенный Джошем Уолфером и Сиддхартом Рэджпэзэком, специалистами службы технической поддержки Cisco.

Среда

Cisco Web Security Appliance (WSA), все версии AsyncOS

Аутентификация с WSA может быть разломана на придерживающиеся возможности:

Клиент> WSA WSA> Сервер проверки подлинности Тип сервера проверки подлинности
Базовая аутентификацияПроверка подлинности LDAPСервер LDAP
Базовая аутентификацияПроверка подлинности LDAPСервер Active Directory с помощью LDAP
Базовая аутентификацияБазовая проверка подлинности NTLMСервер Active Directory (Основной NTLM)
Аутентификация NTLMАутентификация NTLMSSPСервер Active Directory (NTLMSSP)

Примечание: NTLMSSP обычно упоминается как NTLM.

Примечательное различие между Базовой проверкой подлинности и аутентификацией NTLM ниже.

Клиентский опыт

Основной

Клиенту будут всегда предлагать для учетных данных. После того, как учетные данные были введены, браузеры будут, как правило, предлагать флажок для запоминания предоставленных учетных данных. Любое время браузер закрыт, клиент, вызовет снова или передаст ранее помнившие учетные данные снова.

Примечание: Основной NTLM использует Базовую проверку подлинности от клиента и таким образом будет иметь те же свойства.

NTLM (SSP)

  • Клиент будет прозрачно используемая аутентификация его учетные данные начала сеанса Windows.
  • Единственные случаи, в которых клиент вызовет для учетных данных, - то, если учетные данные Windows сначала откажут (то это произойдет, если в клиент войдут локально к компьютеру а не к домену, используемому для аутентификации), или если клиент не доверяет WSA.

Безопасность

Основной

Учетные данные передаются неуверенно с помощью открытого текста. Перехват простого пакета между клиентом и WSA покажет имя пользователя и пароль пользователя.

NTLM (SSP)

Учетные данные передаются надежно через трехэтапное установление связи (аутентификация стиля дайджеста). Пароль никогда не передается по проводу.

Процесс NTLM выглядит как таковым:

  1. Клиент передает NTLM, Выполняют согласование о пакете. Это говорит WSA, что клиент намеревается сделать аутентификацию NTLM.
  2. WSA передает строку проблемы NTLM клиенту.
  3. Клиент использует алгоритм на основе его пароля для изменения проблемы и передает ответ на запрос к WSA.
  4. AD сервер тогда проверяет, что клиент использует правильный пароль на основе того, модифицировало ли это строку проблемы соответственно.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.