我正在尝试了解有关集成 Windows 身份验证的更多信息,但我阅读的所有内容都向我介绍了三个新的首字母缩略词,其中许多包含其他首字母缩略词,我觉得我对这些机制一无所知。
我了解,如果 HTTP 客户端不支持集成 Windows 身份验证,则存在一系列可以识别客户端并可能涉及提示输入用户名和密码的回退。是否有过回退到 HTTP 基本身份验证或任何其他纯文本用户名/密码通信的情况?
我正在尝试确定是否需要提供 SSL 来保护用户凭据,并且我希望所有身份验证都以某种方式得到保护。
问问题
775 次
1 回答
2
在默认安装(NTLM 和 Kerberos)中,没有可供 IWA 使用的 SSP 的纯文本凭据。原则上,您可以部署其他一些 SSP 并通过 NegoEx 将其提供给 IWA,并且该 SSP 可能会实施明文密码检查,但这不太可能。
当然,没有什么可以阻止 Web 应用程序返回请求 HTTP 基本身份验证或表单身份验证的响应,独立于 IWA,因此您必须检查没有应用程序在这样做。
我正在尝试确定是否需要提供 SSL 来保护用户凭据,并且我希望所有身份验证都以某种方式得到保护。
如果您只对遵守针对明文密码的公司政策感兴趣,那么 IWA 就足够了。
如果你有一个真正的威胁模型,并且它在网络上包含一个窥探者,那么你需要担心的更多——这样的攻击者可以很容易地进行主动的中间人攻击,并使 Web 应用程序看起来像在做比如创建一个泄露密码的伪造 NTLM 登录框。这就是您可能需要 SSL 的原因。
于 2012-10-23T15:39:01.833 回答