Autenticação integrada do Windows - Integrated Windows Authentication

Para outros usos, consulte IWA (desambiguação) .

Autenticação integrada do Windows ( IWA ) é um termo associado aosprodutos da Microsoft que se refere aosprotocolos de autenticação SPNEGO , Kerberos e NTLMSSP com relação àfuncionalidade SSPI introduzida no Microsoft Windows 2000 e incluídanos sistemas operacionais baseados no Windows NT posteriores. O termo é usado mais comumente para conexões autenticadas automaticamente entre o Microsoft Internet Information Services , o Internet Explorer e outrosaplicativos compatíveis com o Active Directory .

IWA também é conhecido por vários nomes como HTTP autenticação de negociação , autenticação NT , autenticação NTLM , autenticação de domínio , autenticação integrada do Windows , Windows NT Challenge / Response , ou simplesmente autenticação do Windows .

Visão geral

Mais informações: SPNEGO , Kerberos (protocolo) , NTLMSSP , NTLM , SSPI e GSSAPI

A autenticação integrada do Windows usa os recursos de segurança de clientes e servidores Windows. Ao contrário da autenticação Básica ou Digest, inicialmente, ela não solicita aos usuários um nome de usuário e uma senha. As informações atuais do usuário do Windows no computador cliente são fornecidas pelo navegador da web por meio de uma troca criptográfica envolvendo hash com o servidor da web. Se a troca de autenticação inicialmente falhar em identificar o usuário, o navegador da Web solicitará ao usuário um nome de usuário e senha da conta de usuário do Windows.

A Autenticação Integrada do Windows em si não é um padrão ou um protocolo de autenticação. Quando o IWA é selecionado como uma opção de um programa (por exemplo, na guia Segurança de diretório da caixa de diálogo de propriedades do site IIS ), isso implica que os mecanismos de segurança subjacentes devem ser usados ​​em uma ordem preferencial. Se o provedor Kerberos estiver funcional e um tíquete Kerberos puder ser obtido para o destino, e quaisquer configurações associadas permitirem a autenticação Kerberos (por exemplo, configurações de sites da intranet no Internet Explorer ), o protocolo Kerberos 5 será tentado. Caso contrário, a autenticação NTLMSSP será tentada. Da mesma forma, se a autenticação Kerberos for tentada, mas ela falhar, o NTLMSSP será tentado. IWA usa SPNEGO para permitir que iniciadores e aceitantes negociem Kerberos ou NTLMSSP. Utilitários de terceiros ampliaram o paradigma de autenticação integrada do Windows para sistemas UNIX, Linux e Mac.

Navegadores da web suportados

A autenticação integrada do Windows funciona com a maioria dos navegadores da web modernos, mas não funciona em alguns servidores proxy HTTP . Portanto, é melhor para uso em intranets onde todos os clientes estão em um único domínio . Ele pode funcionar com outros navegadores da web se eles tiverem sido configurados para passar as credenciais de logon do usuário para o servidor que está solicitando autenticação. Onde o próprio proxy requer autenticação NTLM, alguns aplicativos como Java podem não funcionar porque o protocolo não é descrito em RFC-2069 para autenticação de proxy.

  • Internet Explorer 2 e versões posteriores.
  • No Mozilla Firefox em sistemas operacionais Windows, os nomes dos domínios / sites para os quais a autenticação deve ser passada podem ser inseridos (delimitados por vírgulas para vários domínios) para " network.negotiate-auth.trusted-uris " (para Kerberos) ou no nome de preferência " network.automatic-ntlm-auth.trusted-uris " (NTLM) na página about: config . Nos sistemas operacionais Macintosh, isso funciona se você tiver um tíquete Kerberos (use negociar). Alguns sites também podem exigir a configuração de " network.negotiate-auth.delegation-uris ".
  • O Opera 9.01 e as versões posteriores podem usar NTLM / Negotiate, mas usará a autenticação Básica ou Digest se for oferecida pelo servidor.
  • O Google Chrome funciona a partir de 8.0.
  • O Safari funciona, uma vez que você tenha um tíquete Kerberos.
  • Microsoft Edge 77 e posterior.

Navegadores móveis suportados

  • O Bitzer Secure Browser oferece suporte a Kerberos e NTLM SSO de iOS e Android. Ambos KINIT e PKINIT são suportados.

Veja também

  • SSPI (Interface de provedor de suporte de segurança)
  • NTLM (NT Lan Manager)
  • SPNEGO (mecanismo de negociação GSSAPI simples e protegido)
    • GSSAPI (Interface de Programa de Aplicativo de Serviços de Segurança Genérica)

Referências

  1. ^ "Microsoft Security Advisory (974926) - Credential Relaying Attacks on Integrated Windows Authentication" . Microsoft Security TechCenter. 08-12-2009. Arquivado do original em 19/06/2013 . Página visitada em 2012-11-16 . Este comunicado aborda [...] Autenticação Integrada do Windows (IWA) [...]
  2. ^ "Q147706: Como desativar a autenticação LM no Windows NT" . Suporte da Microsoft. 16/09/2006. Arquivado do original em 17/11/2012 . Página visitada em 2012-11-16 . [...] O Windows NT suportava dois tipos de autenticação de desafio / resposta: [...] desafio / resposta do LanManager (LM) [...] desafio / resposta do Windows NT (também conhecido como desafio / resposta NTLM) [.. .] A autenticação LM não é tão forte quanto a autenticação Windows NT [...]
  3. ^ "Autenticação IIS" . Biblioteca Microsoft MSDN. Arquivado do original em 28/11/2012 . Página visitada em 2012-11-16 . Autenticação integrada do Windows (anteriormente conhecida como autenticação NTLM [...]) [...]
  4. ^ "Visão geral do NTLM" . Microsoft TechNet. 29/02/2012. Arquivado do original em 31/10/2012 . Página visitada em 2012-11-16 . Quando o protocolo NTLM é usado, um servidor de recursos deve [...] entrar em contato com um serviço de autenticação de domínio
  5. ^ "MSKB258063: O Internet Explorer pode solicitar uma senha" . Corporação Microsoft. Arquivado do original em 21/10/2012 . Página visitada em 2012-11-16 . A autenticação integrada do Windows, o desafio / resposta do Windows NT (NTCR) e o Windows NT LAN Manager (NTLM) são iguais e usados ​​como sinônimos em todo este artigo.
  6. ^ "Autenticação IIS" . Biblioteca Microsoft MSDN. Arquivado do original em 28/11/2012 . Página visitada em 2012-11-16 . Autenticação integrada do Windows (anteriormente conhecida como [...] autenticação Desafio / Resposta do Windows NT) [...]
  7. ^ a b c Microsoft Corporation. "Autenticação integrada do Windows (IIS 6.0)" . Referência técnica do IIS 6.0 . Arquivado do original em 23/08/2009 . Página visitada em 30-08-2009 .
  8. ^ "Autenticação integrada do Windows - Gino Pipeline - SLAC Confluence" .
  9. ^ "Sobre: ​​entradas de configuração" . MozillaZine . 27 de janeiro de 2012. Arquivado do original em 04/03/2012 . Página visitada em 2012-03-02 .
  10. ^ "Suporte e configuração de identidade do Microsoft Edge" . Microsoft . 2015-07-15 . Obtido em 2020-09-09 .

links externos