Freigeben über

Anfängliche Authentifizierung mithilfe von Microsoft Digest

  • Artikel

Hinweis

Ab Windows 11 22H2 ist Microsoft Digest, auch bekannt als wDigest, veraltet. Microsoft Digest wird weiterhin für unterstützte Versionen von Windows unterstützt. Zukünftige Versionen von Windows werden eingeschränkte Funktionen für Microsoft Digest enthalten, und schließlich wird Microsoft Digest unter Windows nicht mehr unterstützt.

Die anfängliche Authentifizierung erfolgt, wenn der Server eine Anforderungsantwort von einem Client empfängt. Die Authentifizierung einer Herausforderungsantwort umfasst in der Regel mindestens zwei Server:

  • Der Ursprungsserver – empfängt die Anforderung vom Client und gibt eine Challenge aus, und empfängt dann die Anforderungsantwort vom Client, die authentifiziert werden muss.
  • Der authentifizierende Server empfängt Autorisierungsinformationen vom Ursprungsserver und führt die Authentifizierung aus. Dieser Server ist in der Regel ein Domänencontroller, der mehrere Ursprungsserver unterstützt.

Wenn der ursprüngliche Server eine Anforderung mit einem Autorisierungsheader empfängt, der eine Digest-Challenge-Antwort enthält, wird die Authentifizierung wie folgt fortgesetzt:

  • Die Identität des Ursprungsservers wird anhand des Servers überprüft, der in der Nonce der Herausforderung codiert ist.
  • Der in der Nonce codierte Zeitstempel ist aktiviert. Wenn die Nonce abgelaufen ist und die Benutzernamen-/Kennwortinformationen gültig sind, beendet der ursprüngliche Server die Authentifizierung, indem er eine neue Digest-Challenge ausgibt, wobei die veraltete Direktive auf "true" festgelegt ist. Dies gibt an, dass nur die Nonce "veraltet" war und der Client auf die neue Herausforderung mit dem Kennwort reagieren kann, das er in der vorherigen Antwort verwendet hat. Wenn der Client eine neue Herausforderung erhält, nachdem er die Antwort der Herausforderung für die veraltete Herausforderung gesendet hat, muss der Client eine neue Herausforderungsantwort generieren.
  • Wenn die Wiedergabeerkennung erzwungen wird, wird die nc-Direktive (nonce count) mit der vom Server verwalteten Nonce-Sitzungsdatenbank überprüft.
  • Der authentifizierende Server wird identifiziert und die Autorisierungsinformationen des Clients gesendet.
  • Der authentifizierende Server überprüft die Identität des in der Nonce codierten Servers mit der Identität des Ursprungsservers.
  • Der Authentifizierungsserver, bei dem es sich um einen Domänencontroller handelt, ruft das Kennwort des Benutzers ab.
  • Unter Verwendung der Autorisierungsinformationen, des Kennworts und der Ursprungsserveridentifikation berechnet der authentifizierende Server den Wert, den der Client in der Antwortanweisung der Antwortantwort angegeben haben sollte. Der authentifizierende Server vergleicht den berechneten Wert mit der Antwort des Clients, um den Erfolg oder Fehler der Authentifizierung zu ermitteln.

Bei erfolgreicher Authentifizierung werden der Sicherheitskontext des Benutzers und ein Digest-Sitzungsschlüssel an den Ursprungsserver zurückgegeben. Wenn die Authentifizierung fehlschlägt, muss der ursprüngliche Server eine Fehlerantwort generieren. Nach erfolgreicher Authentifizierung gibt der Ursprungsserver die angeforderte Ressource an den Client zurück.

Der vom authentifizierenden Server zurückgegebene Digest-Sitzungsschlüssel wird vom ursprungsbasierten Server zwischengespeichert, um bei der Authentifizierung zukünftiger Anforderungen zu verwenden. Weitere Informationen finden Sie unter Authentifizieren nachfolgender Anforderungen mithilfe von Microsoft Digest.