Compartir a través de

Autenticación inicial mediante Microsoft Digest

  • Artículo

Nota

A partir de Windows 11 22H2, Microsoft está en desuso en Microsoft Digest, también conocido como wDigest. Seguiremos admitiendo Microsoft Digest en versiones compatibles de Windows. Las versiones futuras de Windows incluirán funcionalidades limitadas para Microsoft Digest y, finalmente, Microsoft Digest ya no se admitirá en Windows.

La autenticación inicial tiene lugar cuando el servidor recibe una respuesta de desafío de un cliente. La autenticación de una respuesta de desafío normalmente implica un mínimo de dos servidores:

  • El servidor de origen: recibe la solicitud del cliente y emite un desafío y, a continuación, recibe la respuesta de desafío del cliente que se debe autenticar.
  • El servidor de autenticación: recibe información de autorización del servidor de origen y realiza la autenticación. Este servidor suele ser un controlador de dominio que admite varios servidores de origen.

Cuando el servidor de origen recibe una solicitud con un encabezado authorization que contiene una respuesta de desafío implícita, la autenticación continúa de la siguiente manera:

  • La identidad del servidor de origen se comprueba en el servidor codificado en el nonce del desafío.
  • Se comprueba la marca de tiempo codificada en el nonce. Si el valor de nonce ha expirado y la información de nombre de usuario y contraseña es válida, el servidor de origen finaliza la autenticación emitiendo un nuevo desafío de resumen con la directiva obsoleta establecida en "true". Esto indica que solo el nonce era "obsoleto" y el cliente puede responder al nuevo desafío mediante la contraseña que usó en la respuesta anterior. Si el cliente recibe un nuevo desafío después de enviar la respuesta de desafío para el desafío obsoleto, el cliente debe generar una nueva respuesta de desafío.
  • Si se aplica la detección de reproducción, la directiva nc (nonce count) se comprueba en la base de datos de sesión nonce mantenida por el servidor.
  • El servidor de autenticación se identifica y envía la información de autorización del cliente.
  • El servidor de autenticación comprueba la identidad del servidor codificado en el nonce en la identidad del servidor de origen.
  • El servidor de autenticación, que es un controlador de dominio, recupera la contraseña del usuario.
  • Con la información de autorización, la contraseña y la identificación del servidor de origen, el servidor de autenticación calcula el valor que el cliente debe haber proporcionado en la directiva de respuesta del desafío. El servidor de autenticación compara el valor calculado con la respuesta del cliente para determinar el éxito o el error de la autenticación.

Si la autenticación se realiza correctamente, el contexto de seguridad del usuario y una clave de sesión implícita se devuelven al servidor de origen. Si se produce un error en la autenticación, el servidor de origen debe generar una respuesta de error. Después de una autenticación correcta, el servidor de origen devuelve el recurso solicitado al cliente.

El servidor de origen almacena en caché la clave de sesión implícita devuelta por el servidor de autenticación para su uso en la autenticación de solicitudes futuras. Para obtener más información, consulte Autenticación de solicitudes posteriores mediante Microsoft Digest.