Autenticação inicial usando o Microsoft Digest

Observação

A partir do Windows 11 22H2, a Microsoft está substituindo o Microsoft Digest, também conhecido como wDigest. Continuaremos a dar suporte ao Microsoft Digest em versões com suporte do Windows. As versões futuras do Windows incluirão recursos limitados para o Microsoft Digest e, eventualmente, o Microsoft Digest não terá mais suporte no Windows.

A autenticação inicial ocorre quando o servidor recebe uma resposta de desafio de um cliente. A autenticação de uma resposta de desafio normalmente envolve um mínimo de dois servidores:

  • O servidor de origem recebe a solicitação do cliente e emite um desafio e, em seguida, recebe a resposta de desafio do cliente que deve ser autenticado.
  • O servidor de autenticação recebe informações de autorização do servidor de origem e executa a autenticação. Normalmente, esse servidor é um controlador de domínio que dá suporte a vários servidores de origem.

Quando o servidor de origem recebe uma solicitação com um cabeçalho de autorização que contém uma resposta de desafio digest, a autenticação prossegue da seguinte maneira:

  • A identidade do servidor de origem é verificada no servidor codificado no nonce do desafio.
  • O carimbo de data/hora codificado no nonce é verificado. Se o nonce tiver expirado e as informações de nome de usuário/senha forem válidas, o servidor de origem encerrará a autenticação emitindo um novo desafio digest com a diretiva obsoleta definida como "true". Isso indica que apenas o nonce era "obsoleto" e o cliente pode responder ao novo desafio usando a senha usada na resposta anterior. Se o cliente receber um novo desafio depois de enviar a resposta do desafio para o desafio obsoleto, o cliente deverá gerar uma nova resposta de desafio.
  • Se a detecção de repetição for imposta, a diretiva nc (contagem de nonce) será verificada no banco de dados de sessão nonce mantido pelo servidor.
  • O servidor de autenticação é identificado e enviado as informações de autorização do cliente.
  • O servidor de autenticação verifica a identidade do servidor codificado no nonce em relação à identidade do servidor de origem.
  • O servidor de autenticação, que é um controlador de domínio, recupera a senha do usuário.
  • Usando as informações de autorização, a senha e a identificação do servidor de origem, o servidor de autenticação calcula o valor que o cliente deve ter fornecido na diretiva de resposta da resposta do desafio. O servidor de autenticação compara o valor calculado com a resposta do cliente para determinar o êxito ou a falha da autenticação.

Se a autenticação for bem-sucedida, o contexto de segurança do usuário e uma chave de sessão Digest serão retornados ao servidor de origem. Se a autenticação falhar, o servidor de origem deverá gerar uma resposta de erro. Após uma autenticação bem-sucedida, o servidor de origem retorna o recurso solicitado ao cliente.

A chave de sessão Digest retornada pelo servidor de autenticação é armazenada em cache pelo servidor de origem para uso na autenticação de solicitações futuras. Para obter mais informações, consulte Autenticando solicitações subsequentes usando o Microsoft Digest.