stringtranslate.com

Autenticación integrada de Windows

La autenticación integrada de Windows ( IWA ) [1] es un término asociado con los productos de Microsoft que se refiere a los protocolos de autenticación SPNEGO , Kerberos y NTLMSSP con respecto a la funcionalidad SSPI introducida con Microsoft Windows 2000 e incluida en los sistemas operativos posteriores basados ​​en Windows NT . El término se utiliza más comúnmente para las conexiones autenticadas automáticamente entre Microsoft Internet Information Services , Internet Explorer y otras aplicaciones compatibles con Active Directory .

IWA también se conoce por varios nombres como autenticación HTTP Negotiate , autenticación NT , [2] autenticación NTLM , [3] autenticación de dominio , [4] autenticación integrada de Windows , [5] autenticación desafío/respuesta de Windows NT , [6] o simplemente autenticación de Windows .

Descripción general

La autenticación integrada de Windows utiliza las características de seguridad de los clientes y servidores de Windows. A diferencia de la autenticación básica o la autenticación implícita , inicialmente no solicita a los usuarios un nombre de usuario y una contraseña. La información actual del usuario de Windows en el equipo cliente es suministrada por el navegador web a través de un intercambio criptográfico que implica un hash con el servidor web. Si el intercambio de autenticación inicialmente no logra identificar al usuario, el navegador web le solicitará al usuario un nombre de usuario y una contraseña de cuenta de usuario de Windows.

La autenticación integrada de Windows no es en sí misma un estándar ni un protocolo de autenticación. Cuando se selecciona IWA como una opción de un programa (por ejemplo, en la pestaña Seguridad de directorio del cuadro de diálogo de propiedades del sitio IIS ) [7], esto implica que los mecanismos de seguridad subyacentes se deben utilizar en un orden preferencial. Si el proveedor de Kerberos está en funcionamiento y se puede obtener un ticket de Kerberos para el destino, y cualquier configuración asociada permite que se produzca la autenticación Kerberos (por ejemplo, la configuración de los sitios de intranet en Internet Explorer ), se intentará el protocolo Kerberos 5. De lo contrario , se intentará la autenticación NTLMSSP . De manera similar, si se intenta la autenticación Kerberos, pero falla, se intenta NTLMSSP. IWA utiliza SPNEGO para permitir que los iniciadores y aceptadores negocien Kerberos o NTLMSSP. Las utilidades de terceros han extendido el paradigma de autenticación integrada de Windows a los sistemas UNIX, Linux y Mac.

Navegadores web compatibles

La autenticación integrada de Windows funciona con la mayoría de los navegadores web modernos, [8] pero no funciona con algunos servidores proxy HTTP . [7] Por lo tanto, es mejor para su uso en intranets donde todos los clientes están dentro de un solo dominio . Puede funcionar con otros navegadores web si se han configurado para pasar las credenciales de inicio de sesión del usuario al servidor que solicita la autenticación. Cuando un proxy en sí mismo requiere autenticación NTLM, algunas aplicaciones como Java pueden no funcionar porque el protocolo no está descrito en RFC-2069 para la autenticación de proxy.

Navegadores móviles compatibles

iOS admite Kerberos de forma nativa a través de la extensión de inicio de sesión único de Kerberos. Al configurar la extensión, Safari y Edge pueden usar Kerberos.

Android tiene soporte para SPNEGO en Chrome, que agrega soporte para Kerberos con una solución como Hypergate Authenticator.

Véase también

Referencias

  1. ^ "Microsoft Security Advisory (974926) - Ataques de retransmisión de credenciales en la autenticación integrada de Windows". Microsoft Security TechCenter. 2009-12-08. Archivado desde el original el 2013-06-19 . Consultado el 2012-11-16 . Este aviso aborda [...] la autenticación integrada de Windows (IWA) [...]
  2. ^ "Q147706: Cómo deshabilitar la autenticación LM en Windows NT". Soporte técnico de Microsoft. 16 de septiembre de 2006. Archivado desde el original el 17 de noviembre de 2012. Consultado el 16 de noviembre de 2012. [...] Windows NT admitía dos tipos de autenticación de desafío/respuesta: [...] Desafío/respuesta de LanManager (LM) [...] Desafío/respuesta de Windows NT (también conocido como desafío/respuesta NTLM) [...] La autenticación LM no es tan segura como la autenticación de Windows NT [...]
  3. ^ "Autenticación de IIS". Biblioteca MSDN de Microsoft. Archivado desde el original el 28 de noviembre de 2012. Consultado el 16 de noviembre de 2012. Autenticación integrada de Windows (anteriormente conocida como autenticación NTLM [...]) [...]
  4. ^ "Descripción general de NTLM". Microsoft TechNet. 29 de febrero de 2012. Archivado desde el original el 31 de octubre de 2012. Consultado el 16 de noviembre de 2012. Cuando se utiliza el protocolo NTLM, un servidor de recursos debe [...] Póngase en contacto con un servicio de autenticación de dominio
  5. ^ "MSKB258063: Internet Explorer puede solicitarle una contraseña". Microsoft Corporation. Archivado desde el original el 21 de octubre de 2012. Consultado el 16 de noviembre de 2012. La autenticación integrada de Windows, Windows NT Challenge/Response (NTCR) y Windows NT LAN Manager (NTLM) son lo mismo y se utilizan como sinónimos en este artículo.
  6. ^ "Autenticación de IIS". Biblioteca MSDN de Microsoft. Archivado desde el original el 28 de noviembre de 2012. Consultado el 16 de noviembre de 2012. Autenticación integrada de Windows (anteriormente conocida como [...] Autenticación de desafío/respuesta de Windows NT) [...]
  7. ^ abc Microsoft Corporation. «Autenticación integrada de Windows (IIS 6.0)». Referencia técnica de IIS 6.0 . Archivado desde el original el 23 de agosto de 2009. Consultado el 30 de agosto de 2009 .
  8. ^ "Autenticación integrada de Windows - Gino Pipeline - SLAC Confluence".
  9. ^ "About:config entries". MozillaZine . 27 de enero de 2012. Archivado desde el original el 4 de marzo de 2012 . Consultado el 2 de marzo de 2012 .
  10. ^ "Compatibilidad y configuración de identidad de Microsoft Edge". Microsoft . 2020-07-15 . Consultado el 2020-09-09 .

Enlaces externos