통합 Windows 인증

Integrated Windows Authentication
그 외의 용도는, IWA(동음이의)를 참조해 주세요.

Integrated Windows Authentication(IWA;[1] 통합 Windows 인증)은 Microsoft Windows 2000에서 도입된SSPI 기능 및 이후 Windows NT 기반 운영시스템에 포함된SPNEGO, KerberosNTLMSSP 인증 프로토콜을 가리키는 Microsoft 제품과 관련된 용어입니다.이 용어는 Microsoft Internet Information Services, Internet Explorer 및 기타 Active Directory 지원 응용 프로그램 간의 자동 인증 연결을 위해 더 일반적으로 사용됩니다.

IWA는 HTTP 네고시에이트 인증,[2] NTLM 인증,[3] 도메인 인증,[4] Windows 통합 인증,[5] Windows NT 챌린지/[6]리스폰스 인증 또는 단순 Windows 인증 여러 이름으로도 알려져 있습니다.

개요

상세정보: SPNEGO, Kerberos(프로토콜), NTLMSSP, NTLM, SSPIGSSAPI

통합 Windows 인증은 Windows 클라이언트 및 서버의 보안 기능을 사용합니다.Basic 또는 Digest 인증과는 달리 처음에는 사용자에게 사용자 이름과 비밀번호를 입력하라는 메시지가 표시되지 않습니다.클라이언트 시스템의 현재 윈도우즈 사용자 정보는 웹 브라우저에 의해 웹 서버와의 해시가 포함된 암호화 교환을 통해 제공됩니다.인증 교환이 처음에 사용자를 식별할 수 없는 경우 웹 브라우저는 사용자에게 Windows 사용자 계정의 사용자 이름과 비밀번호를 입력하라는 메시지를 표시합니다.

통합 Windows 인증 자체는 표준 또는 인증 프로토콜이 아닙니다.프로그램의 옵션으로 IWA를 선택한 경우(를 들어 IIS 사이트 속성 [7]대화상자의 디렉토리 보안 탭 내)는 기본 보안 메커니즘을 우선 순서로 사용해야 함을 의미합니다.Kerberos 프로바이더가 기능하고 타겟에 대한 Kerberos 티켓을 얻을 수 있으며 관련된 설정으로 Kerberos 인증을 수행할 수 있는 경우(Internet Explorer의 인트라넷 사이트 설정 등), Kerberos 5 프로토콜이 시행됩니다.그렇지 않으면 NTLMSSP 인증이 시행됩니다.마찬가지로 Kerberos 인증을 시도했지만 실패했을 경우 NTLMSSP가 시행됩니다.IWA는 SPNEGO를 사용하여 발신측과 수신측이 Kerberos 또는 NTLMSSP 중 하나를 네고시에이트할 수 있도록 합니다.서드파티 유틸리티는 통합 Windows 인증 패러다임을 UNIX, Linux 및 Mac 시스템으로 확장했습니다.

지원되는 웹 브라우저

통합 Windows 인증은 대부분의 최신 웹 [8]브라우저에서 작동하지만 일부 HTTP 프록시 [7]서버에서는 작동하지 않습니다.따라서 모든 클라이언트가 단일 도메인 내에 있는 인트라넷에서 사용하는 것이 가장 좋습니다.사용자의 로그온 자격 증명을 인증을 요청하는 서버에 전달하도록 구성된 다른 웹 브라우저와 함께 사용할 수 있습니다.프록시 자체에 NTLM 인증이 필요한 경우 프록시 인증에 대한 프로토콜이 RFC-2069에 설명되어 있지 않기 때문에 Java와 같은 일부 응용 프로그램이 작동하지 않을 수 있습니다.

  • Internet Explorer 2 이후 [7]버전
  • Windows operating system의 Mozilla Firefox 에서는, 「network.negotiate-auth.trusted-uris」(Kerberos 의 경우) 또는 「network」에 인증이 전달되는 도메인/웹 사이트의 이름을 입력할 수 있습니다.automatic-ntlm-auth.trusted-uris" (NTLM) Preference Name (about:config 페이지)[9]를 참조해 주세요.Macintosh 운영체제에서는 kerberos 티켓이 있는 경우(negotiate 사용) 이 기능이 작동합니다.일부 웹 사이트에서는 "network.negotiate-auth.delegation-uris" 설정이 필요할 수도 있습니다.
  • Opera 9.01 이후 버전에서는 NTLM/Negotiate를 사용할 수 있지만 서버에서 기본 인증 또는 다이제스트 인증을 사용할 수 있습니다.
  • Google Chrome은 8.0에서 작동합니다.
  • Kerberos 티켓이 있으면 Safari가 작동합니다.
  • Microsoft Edge 77 [10]이후

지원되는 모바일 브라우저

  • Bitzer Secure Browser는 iOS 및 Android에서 Kerberos 및 NTLM SSO를 지원합니다.KINIT와 PKINIT가 모두 지원됩니다.

「 」를 참조해 주세요.

  • SSPI(Security Support Provider Interface)
  • NTLM(NT Lan Manager)
  • SPNEGO(간단하고 보호된 GSSAPI 네고시에이션메커니즘)
    • GSSAPI(Generic Security Services Application Program Interface)

레퍼런스

  1. ^ "Microsoft Security Advisory (974926) - Credential Relaying Attacks on Integrated Windows Authentication". Microsoft Security TechCenter. 2009-12-08. Archived from the original on 2013-06-19. Retrieved 2012-11-16. This advisory addresses [...] Integrated Windows Authentication (IWA) [...]
  2. ^ "Q147706: How to disable LM authentication on Windows NT". Microsoft Support. 2006-09-16. Archived from the original on 2012-11-17. Retrieved 2012-11-16. [...] Windows NT supported two kinds of challenge/response authentication: [...] LanManager (LM) challenge/response [...] Windows NT challenge/response (also known as NTLM challenge/response) [...] LM authentication is not as strong as Windows NT authentication [...]
  3. ^ "IIS Authentication". Microsoft MSDN Library. Archived from the original on 2012-11-28. Retrieved 2012-11-16. Integrated Windows authentication (formerly known as NTLM authentication [...]) [...]
  4. ^ "NTLM Overview". Microsoft TechNet. 2012-02-29. Archived from the original on 2012-10-31. Retrieved 2012-11-16. When the NTLM protocol is used, a resource server must [...] Contact a domain authentication service
  5. ^ "MSKB258063: Internet Explorer May Prompt You for a Password". Microsoft Corporation. Archived from the original on 2012-10-21. Retrieved 2012-11-16. Windows Integrated authentication, Windows NT Challenge/Response (NTCR), and Windows NT LAN Manager (NTLM) are the same and are used synonymously throughout this article.
  6. ^ "IIS Authentication". Microsoft MSDN Library. Archived from the original on 2012-11-28. Retrieved 2012-11-16. Integrated Windows authentication (formerly known as [...] Windows NT Challenge/Response authentication) [...]
  7. ^ a b c Microsoft Corporation. "Integrated Windows Authentication (IIS 6.0)". IIS 6.0 Technical Reference. Archived from the original on 2009-08-23. Retrieved 2009-08-30.
  8. ^ "Integrated Windows Authentication - Gino Pipeline - SLAC Confluence".
  9. ^ "About:config entries". MozillaZine. 27 January 2012. Archived from the original on 2012-03-04. Retrieved 2012-03-02.
  10. ^ "Microsoft Edge identity support and configuration". Microsoft. 2020-07-15. Retrieved 2020-09-09.

외부 링크