La autenticación integrada de Windows ( IWA ) [1] es un término asociado con los productos de Microsoft que se refiere a los protocolos de autenticación SPNEGO , Kerberos y NTLMSSP con respecto a la funcionalidad SSPI introducida con Microsoft Windows 2000 e incluida en los sistemas operativos posteriores basados en Windows NT . El término se utiliza más comúnmente para las conexiones autenticadas automáticamente entre Microsoft Internet Information Services , Internet Explorer y otras aplicaciones compatibles con Active Directory .
IWA también se conoce por varios nombres como autenticación HTTP Negotiate , autenticación NT , [2] autenticación NTLM , [3] autenticación de dominio , [4] autenticación integrada de Windows , [5] autenticación desafío/respuesta de Windows NT , [6] o simplemente autenticación de Windows .
La autenticación integrada de Windows utiliza las características de seguridad de los clientes y servidores de Windows. A diferencia de la autenticación básica o la autenticación implícita , inicialmente no solicita a los usuarios un nombre de usuario y una contraseña. La información actual del usuario de Windows en el equipo cliente es suministrada por el navegador web a través de un intercambio criptográfico que implica un hash con el servidor web. Si el intercambio de autenticación inicialmente no logra identificar al usuario, el navegador web le solicitará al usuario un nombre de usuario y una contraseña de cuenta de usuario de Windows.
La autenticación integrada de Windows no es en sí misma un estándar ni un protocolo de autenticación. Cuando se selecciona IWA como una opción de un programa (por ejemplo, en la pestaña Seguridad de directorio del cuadro de diálogo de propiedades del sitio IIS ) [7], esto implica que los mecanismos de seguridad subyacentes se deben utilizar en un orden preferencial. Si el proveedor de Kerberos está en funcionamiento y se puede obtener un ticket de Kerberos para el destino, y cualquier configuración asociada permite que se produzca la autenticación Kerberos (por ejemplo, la configuración de los sitios de intranet en Internet Explorer ), se intentará el protocolo Kerberos 5. De lo contrario , se intentará la autenticación NTLMSSP . De manera similar, si se intenta la autenticación Kerberos, pero falla, se intenta NTLMSSP. IWA utiliza SPNEGO para permitir que los iniciadores y aceptadores negocien Kerberos o NTLMSSP. Las utilidades de terceros han extendido el paradigma de autenticación integrada de Windows a los sistemas UNIX, Linux y Mac.
La autenticación integrada de Windows funciona con la mayoría de los navegadores web modernos, [8] pero no funciona con algunos servidores proxy HTTP . [7] Por lo tanto, es mejor para su uso en intranets donde todos los clientes están dentro de un solo dominio . Puede funcionar con otros navegadores web si se han configurado para pasar las credenciales de inicio de sesión del usuario al servidor que solicita la autenticación. Cuando un proxy en sí mismo requiere autenticación NTLM, algunas aplicaciones como Java pueden no funcionar porque el protocolo no está descrito en RFC-2069 para la autenticación de proxy.
iOS admite Kerberos de forma nativa a través de la extensión de inicio de sesión único de Kerberos. Al configurar la extensión, Safari y Edge pueden usar Kerberos.
Android tiene soporte para SPNEGO en Chrome, que agrega soporte para Kerberos con una solución como Hypergate Authenticator.
Este aviso aborda [...] la autenticación integrada de Windows (IWA) [...]
[...] Windows NT admitía dos tipos de autenticación de desafío/respuesta: [...] Desafío/respuesta de LanManager (LM) [...] Desafío/respuesta de Windows NT (también conocido como desafío/respuesta NTLM) [...] La autenticación LM no es tan segura como la autenticación de Windows NT [...]
Autenticación integrada de Windows (anteriormente conocida como autenticación NTLM [...]) [...]
Cuando se utiliza el protocolo NTLM, un servidor de recursos debe [...] Póngase en contacto con un servicio de autenticación de dominio
autenticación integrada de Windows, Windows NT Challenge/Response (NTCR) y Windows NT LAN Manager (NTLM) son lo mismo y se utilizan como sinónimos en este artículo.
integrada de Windows (anteriormente conocida como [...] Autenticación de desafío/respuesta de Windows NT) [...]