Autentikasi Awal Menggunakan Microsoft Digest

  • Artikel

Catatan

Mulai Windows 11 22H2, Microsoft menghentikan Microsoft Digest, juga dikenal sebagai wDigest. Kami akan terus mendukung Microsoft Digest pada versi Windows yang didukung. Versi Windows yang akan datang akan mencakup kemampuan terbatas untuk Microsoft Digest, dan akhirnya Microsoft Digest tidak akan lagi didukung di Windows.

Autentikasi awal terjadi ketika server menerima respons tantangan dari klien. Mengautentikasi respons tantangan biasanya melibatkan minimal dua server:

  • Server asal—menerima permintaan dari klien dan mengeluarkan tantangan, lalu menerima respons tantangan dari klien yang harus diautentikasi.
  • Server yang mengautentikasi—menerima informasi otorisasi dari server asal, dan melakukan autentikasi. Server ini biasanya merupakan pengendali domain yang mendukung beberapa server asal.

Ketika server asal menerima permintaan dengan header Otorisasi yang berisi respons tantangan Digest, autentikasi dilanjutkan sebagai berikut:

  • Identitas server asal diperiksa terhadap server yang dikodekan dalam nonce tantangan.
  • Stempel waktu yang dikodekan di nonce diperiksa. Jika nonce telah kedaluwarsa dan informasi nama pengguna/kata sandi valid, server asal mengakhiri autentikasi dengan mengeluarkan tantangan Digest baru dengan direktif kedaluwarsa yang diatur ke "true". Ini menunjukkan bahwa hanya nonce yang "basi" dan klien dapat menanggapi tantangan baru menggunakan kata sandi yang digunakan dalam respons sebelumnya. Jika klien menerima tantangan baru setelah mengirim respons tantangan untuk tantangan kedaluarsa, klien harus menghasilkan respons tantangan baru.
  • Jika deteksi pemutaran ulang diberlakukan, arahan nc (jumlah nonce) diperiksa terhadap database sesi nonce yang dikelola oleh server.
  • Server yang mengautentikasi diidentifikasi dan mengirim informasi otorisasi klien.
  • Server autentikasi memeriksa identitas server yang dikodekan di nonce terhadap identitas server asal.
  • Server autentikasi, yang merupakan pengontrol domain, mengambil kata sandi pengguna.
  • Dengan menggunakan informasi otorisasi, kata sandi, dan identifikasi server asal, server yang mengautentikasi menghitung nilai yang seharusnya disediakan klien dalam arahan respons respons tantangan. Server autentikasi membandingkan nilai komputasi dengan respons klien untuk menentukan keberhasilan atau kegagalan autentikasi.

Jika autentikasi berhasil, konteks keamanan pengguna dan kunci sesi Hash dikembalikan ke server asal. Jika autentikasi gagal, server asal harus menghasilkan respons kesalahan. Setelah autentikasi berhasil, server asal mengembalikan sumber daya yang diminta ke klien.

Kunci sesi Hash yang dikembalikan oleh server autentikasi di-cache oleh server asal untuk digunakan dalam mengautentikasi permintaan di masa mendatang. Untuk informasi selengkapnya, lihat Mengautentikasi Permintaan Berikutnya menggunakan Microsoft Digest.