다음을 통해 공유

Microsoft 다이제스트를 사용한 초기 인증

  • 아티클

참고

Windows 11 22H2부터 Microsoft는 wDigest라고도 하는 Microsoft 다이제스트를 더 이상 사용하지 않습니다. 지원되는 Windows 버전에서 Microsoft Digest를 계속 지원할 예정입니다. 이후 버전의 Windows에는 Microsoft 다이제스트에 대한 제한된 기능이 포함되며, 결국 Microsoft 다이제스트는 Windows에서 더 이상 지원되지 않습니다.

초기 인증은 서버가 클라이언트로부터 챌린지 응답을 받을 때 발생합니다. 챌린지 응답을 인증하는 데는 일반적으로 최소 두 개의 서버가 포함됩니다.

  • 원래 서버는 클라이언트로부터 요청을 받고 챌린지를 발급한 다음, 인증해야 하는 클라이언트로부터 챌린지 응답을 받습니다.
  • 인증 서버는 원래 서버에서 권한 부여 정보를 수신하고 인증을 수행합니다. 이 서버는 일반적으로 여러 원본 서버를 지원하는 도메인 컨트롤러입니다.

원래 서버가 다이제스트 챌린지 응답이 포함된 권한 부여 헤더가 있는 요청을 받으면 다음과 같이 인증이 진행됩니다.

  • 원래 서버의 ID는 챌린지의 nonce로 인코딩된 서버에 대해 검사됩니다.
  • nonce로 인코딩된 타임스탬프를 확인합니다. nonce가 만료되고 사용자 이름/암호 정보가 유효한 경우 원래 서버는 부실 지시문이 "true"로 설정된 새 다이제스트 챌린지를 실행하여 인증을 종료합니다. 이는 nonce만 "부실"했고 클라이언트가 이전 응답에서 사용한 암호를 사용하여 새 챌린지에 응답할 수 있음을 나타냅니다. 부실 챌린지에 대한 챌린지 응답을 보낸 후 클라이언트가 새 챌린지를 수신하는 경우 클라이언트는 새 챌린지 응답을 생성해야 합니다.
  • 재생 검색이 적용되면 서버에서 유지 관리하는 nonce 세션 데이터베이스에 대해 nc 지시문(nonce 개수)이 검사됩니다.
  • 인증 서버가 식별되어 클라이언트의 권한 부여 정보를 보냅니다.
  • 인증 서버는 nonce에 인코딩된 서버의 ID와 원래 서버의 ID를 확인합니다.
  • 도메인 컨트롤러인 인증 서버는 사용자의 암호를 검색합니다.
  • 인증 정보, 암호 및 원래 서버 ID를 사용하여 인증 서버는 클라이언트가 챌린지 응답의 응답 지시문에 제공해야 하는 값을 계산합니다. 인증 서버는 계산된 값을 클라이언트의 응답과 비교하여 인증의 성공 또는 실패를 확인합니다.

인증에 성공하면 사용자의 보안 컨텍스트 와 다이제스트 세션 키가 원래 서버로 반환됩니다. 인증에 실패하면 원래 서버에서 오류 응답을 생성해야 합니다. 인증에 성공하면 원래 서버는 요청된 리소스를 클라이언트에 반환합니다.

인증 서버에서 반환된 다이제스트 세션 키는 이후 요청을 인증하는 데 사용하기 위해 원래 서버에서 캐시됩니다. 자세한 내용은 Microsoft Digest를 사용하여 후속 요청 인증을 참조하세요.