Worin besteht der Unterschied zwischen NTLM- und LDAP-Authentifizierung?

Download-Optionen

  • PDF     (234.4 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (86.8 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (70.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:14. Oktober 2014
Dokument-ID:118487

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Frage

Worin besteht der Unterschied zwischen NTLM- und LDAP-Authentifizierung?

Umgebung

Cisco Web Security Appliance (WSA), alle Versionen von AsyncOS

Die Authentifizierung mit der WSA kann in folgende Möglichkeiten unterteilt werden:

Client > WSA WSA > Authentifizierungsserver Authentifizierungsservertyp
Grundlegende Authentifizierung LDAP-Authentifizierung LDAP-Server
Grundlegende Authentifizierung LDAP-Authentifizierung Active Directory-Server mit LDAP
Grundlegende Authentifizierung NTLM-Standardauthentifizierung Active Directory-Server (NTLM Basic)
NTLM-Authentifizierung NTLMSSP-Authentifizierung Active Directory-Server (NTLMSSP)

Hinweis: NTLMSSP wird allgemein als NTLM bezeichnet.

Der bemerkenswerte Unterschied zwischen der Standardauthentifizierung und der NTLM-Authentifizierung ist unten dargestellt.

Kundenerlebnis

Einfach

Der Client wird immer zur Eingabe von Anmeldeinformationen aufgefordert. Nach Eingabe der Anmeldeinformationen bieten Browser in der Regel ein Kontrollkästchen, um sich die angegebenen Anmeldeinformationen zu merken. Bei jedem Schließen des Browsers fordert der Client erneut an oder sendet die zuvor gespeicherten Anmeldeinformationen erneut.

Hinweis: NTLM Basic verwendet die Standardauthentifizierung des Clients und verfügt daher über dieselben Eigenschaften.

NTLM (SSP)

  • Der Client authentifiziert sich transparent mithilfe seiner Windows-Anmeldeinformationen.
  • Die einzigen Fälle, in denen der Client zur Eingabe von Anmeldeinformationen auffordert, sind, wenn die Windows-Anmeldeinformationen zunächst fehlschlagen (dies tritt auf, wenn der Client lokal am Computer angemeldet ist und nicht an der für die Authentifizierung verwendeten Domäne) oder wenn der Client der WSA nicht vertraut.

Sicherheit

Einfach

Anmeldeinformationen werden unsicher mit Nur-Text gesendet. Bei einer einfachen Paketerfassung zwischen dem Client und der WSA werden der Benutzername UND das Kennwort des Benutzers angezeigt.

NTLM (SSP)

Die Anmeldeinformationen werden sicher über einen Drei-Wege-Handshake (Digest-Style-Authentifizierung) gesendet. Das Kennwort wird NIE über die Leitung übertragen.

Der NTLM-Prozess sieht wie folgt aus:

  1. Der Client sendet ein NTLM-Negotiate-Paket. Dies teilt der WSA mit, dass der Client eine NTLM-Authentifizierung vornimmt.
  2. Die WSA sendet eine NTLM Challenge-Zeichenfolge an den Client.
  3. Der Client verwendet einen auf seinem Kennwort basierenden Algorithmus, um die Herausforderung zu ändern, und sendet die Antwort auf die Herausforderung an die WSA.
  4. Der AD-Server überprüft dann, ob der Client das richtige Kennwort verwendet, basierend darauf, ob er die Challenge entsprechend modifiziert hat oder nicht.

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
14-Oct-2014
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Josh Wolfer and Siddharth Rajpathak
    Cisco TAC Engineers.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.