クライアント側で要求されたパスワードが常に認証サーバー(AD/LSA)に安全に(暗号化されて)転送されるという前提で、IIS内のWebアプリケーションで常に統合セキュリティを有効にしています。私は私の前提を訂正していますか?私はいつもこれを仮定してきたのですが、私はいつもクライアントの&サーバは、パスワードが常に暗号化されている認証のためにNTLMまたはKerberosを使用するADでWindowsクライアントを認証するのと非常に似ていると考えています。IIS内で統合セキュリティが有効になっている場合、Webアプリケーションはログイン時にパスワードを暗号化しますか?
いいえ。パスワードは、認証が実行されたときにドメインコントローラに送信されることさえありません。 challenge/response type algorithmが発生し、これを行う必要がなくなり、パスワードを渡すよりもはるかに安全です。
これはおそらくServerFaultに関するより良い質問ですが、パスワードにBasic Authを使用せず、NTLMを使用している場合、パスワードの送信は暗号化されます。 (IEでのみ動作します)。
NTLMは、Webアプリケーションのディレクトリセキュリティタブの認証とアクセス制御オプションで統合されたWindows認証オプションを参照したいと考えています。しかし、なぜそれがIEのためにのみ動作すると言うのですか? FireFox経由でも問題なく認証されます。 – msvcyc
私は多分古い情報に取り組んでいます。 FirefoxはIISでNTLM認証タイプをサポートしていませんでした。 –
ドメインコントローラに送信されていないとはどういう意味ですか?ログインダイアログで任意のドメイン/ローカルユーザーとしてログインできます。また、AD/LSAが認証されていない場合は、誰が認証を行っていると思いますか? – msvcyc
これは認証していますが、パスワードを送信していません。パスワードを知っていれば計算できる値を送信しています。パスワードを知っていることを証明する必要があります。パスワードを知っていることを証明するためにパスワードを送信する必要はありません。 –