Partager via

Authentification initiale à l’aide de Microsoft Digest

  • Article

Notes

À compter de Windows 11 22H2, Microsoft déprécie Microsoft Digest, également appelé wDigest. Nous continuerons à prendre en charge Microsoft Digest sur les versions prises en charge de Windows. Les futures versions de Windows incluront des fonctionnalités limitées pour Microsoft Digest et, à terme, Microsoft Digest ne sera plus pris en charge sur Windows.

L’authentification initiale a lieu lorsque le serveur reçoit une réponse de défi d’un client. L’authentification d’une réponse de défi implique généralement un minimum de deux serveurs :

  • Le serveur d’origine : reçoit la demande du client et émet un défi, puis reçoit la réponse du client qui doit être authentifié.
  • Le serveur d’authentification : reçoit les informations d’autorisation du serveur d’origine et effectue l’authentification. Ce serveur est généralement un contrôleur de domaine qui prend en charge plusieurs serveurs d’origine.

Lorsque le serveur d’origine reçoit une demande avec un en-tête d’autorisation contenant une réponse de défi Digest, l’authentification se déroule comme suit :

  • L’identité du serveur d’origine est vérifiée par rapport au serveur encodé dans le nonce du défi.
  • L’horodatage encodé dans le nonce est vérifié. Si le nonce a expiré et que les informations de nom d’utilisateur/mot de passe sont valides, le serveur d’origine met fin à l’authentification en émettant une nouvelle requête Digest avec la directive obsolète définie sur « true ». Cela indique que seul le nonce était « obsolète » et que le client peut répondre au nouveau défi à l’aide du mot de passe utilisé dans la réponse précédente. Si le client reçoit un nouveau défi après avoir envoyé la réponse du défi obsolète, le client doit générer une nouvelle réponse de défi.
  • Si la détection de relecture est appliquée, la directive nc (nombre de nonces) est vérifiée par rapport à la base de données de session nonce gérée par le serveur.
  • Le serveur d’authentification est identifié et envoyé les informations d’autorisation du client.
  • Le serveur d’authentification vérifie l’identité du serveur encodé dans le nonce par rapport à l’identité du serveur d’origine.
  • Le serveur d’authentification, qui est un contrôleur de domaine, récupère le mot de passe de l’utilisateur.
  • À l’aide des informations d’autorisation, du mot de passe et de l’identification du serveur d’origine, le serveur d’authentification calcule la valeur que le client doit avoir fournie dans la directive de réponse de la réponse au défi. Le serveur d’authentification compare la valeur calculée à la réponse du client pour déterminer la réussite ou l’échec de l’authentification.

Si l’authentification réussit, le contexte de sécurité de l’utilisateur et une clé de session Digest sont retournés au serveur d’origine. Si l’authentification échoue, le serveur d’origine doit générer une réponse d’erreur. Après une authentification réussie, le serveur d’origine retourne la ressource demandée au client.

La clé de session Digest retournée par le serveur d’authentification est mise en cache par le serveur d’origine pour une utilisation dans l’authentification des demandes futures. Pour plus d’informations, consultez Authentification des requêtes suivantes à l’aide de Microsoft Digest.