Autenticazione iniziale con Microsoft Digest

  • Articolo

Nota

A partire da Windows 11 22H2, Microsoft deprecato Microsoft Digest, noto anche come wDigest. Continuerà a supportare Microsoft Digest nelle versioni supportate di Windows. Le versioni future di Windows includono funzionalità limitate per Microsoft Digest e alla fine Microsoft Digest non saranno più supportate in Windows.

L'autenticazione iniziale viene eseguita quando il server riceve una risposta di richiesta da un client. L'autenticazione di una risposta alla sfida comporta in genere un minimo di due server:

  • Il server di origine riceve la richiesta dal client e genera una richiesta e quindi riceve la risposta alla richiesta dal client che deve essere autenticata.
  • Il server di autenticazione riceve le informazioni di autorizzazione dal server di origine ed esegue l'autenticazione. Questo server è in genere un controller di dominio che supporta più server di origine.

Quando il server di origine riceve una richiesta con un'intestazione di autorizzazione contenente una risposta di richiesta digest, l'autenticazione procede come indicato di seguito:

  • L'identità del server di origine viene controllata rispetto al server codificato nel nonce della richiesta.
  • Il timestamp codificato nel nonce viene controllato. Se il nonce è scaduto e le informazioni sul nome utente/password sono valide, il server di origine termina l'autenticazione emettendo una nuova richiesta digest con la direttiva non aggiornata impostata su "true". Ciò indica che solo il nonce era "non aggiornato" e il client può rispondere alla nuova sfida usando la password usata nella risposta precedente. Se il client riceve una nuova sfida dopo l'invio della risposta alla richiesta non aggiornata, il client deve generare una nuova risposta di sfida.
  • Se viene applicato il rilevamento della riproduzione, la direttiva nc (conteggio nonce) viene controllata dal database di sessione nonce gestito dal server.
  • Il server di autenticazione viene identificato e inviato le informazioni di autorizzazione del client.
  • Il server di autenticazione controlla l'identità del server codificata nel nonce rispetto all'identità del server di origine.
  • Il server di autenticazione, che è un controller di dominio, recupera la password dell'utente.
  • Usando le informazioni di autorizzazione, la password e l'identificazione del server di origine, il server di autenticazione calcola il valore specificato dal client nella direttiva di risposta della richiesta. Il server di autenticazione confronta il valore calcolato alla risposta del client per determinare l'esito positivo o negativo dell'autenticazione.

Se l'autenticazione ha esito positivo, il contesto di sicurezza dell'utente e una chiave di sessione Digest vengono restituiti al server di origine. Se l'autenticazione ha esito negativo, il server di origine deve generare una risposta di errore. Dopo un'autenticazione riuscita, il server di origine restituisce la risorsa richiesta al client.

La chiave sessione Digest restituita dal server di autenticazione viene memorizzata nella cache dal server di origine per l'uso per l'autenticazione di richieste future. Per altre informazioni, vedere Autenticazione delle richieste successive tramite Microsoft Digest.