問題
NTLM和LDAP身份驗證之間有什麼區別?
環境
思科網路安全裝置(WSA),AsyncOS的所有版本
WSA身份驗證可以分為以下幾種可能性:
| 客戶端> WSA |
WSA >身份驗證伺服器 |
身份驗證伺服器型別 |
| 基本身份驗證 |
LDAP身份驗證 |
LDAP伺服器 |
| 基本身份驗證 |
LDAP身份驗證 |
使用LDAP的Active Directory伺服器 |
| 基本身份驗證 |
NTLM基本身份驗證 |
Active Directory伺服器(NTLM基本版) |
| NTLM身份驗證 |
NTLMSSP身份驗證 |
Active Directory伺服器(NTLMSSP) |
附註:NTLMSSP通常稱為NTLM。
基本身份驗證與NTLM身份驗證之間的顯著區別如下。
使用者端體驗
基本
始終提示客戶端輸入憑據。輸入憑證後,瀏覽器通常會提供一個覈取方塊來記住所提供的憑證。無論何時關閉瀏覽器,客戶端都會再次提示或再次傳送先前記住的憑據。
附註:NTLM Basic利用來自客戶端的基本身份驗證,因此將具有相同的屬性。
NTLM(SSP)
- 客戶端將使用其Windows登入憑據透明地進行身份驗證。
- 客戶端唯一會提示輸入憑據的情況是Windows憑據首先失敗(如果客戶端在本地登入到電腦而不是用於身份驗證的域,則會出現這種情況)或客戶端不信任WSA。
安全
基本
使用純文字檔案不安全地傳送憑證。客戶端和WSA之間的簡單資料包捕獲將顯示使用者的使用者名稱和密碼。
NTLM(SSP)
憑證通過三次握手(摘要式身份驗證)安全傳送。 密碼絕不通過線路傳送。
NTLM進程如下所示:
- 客戶端傳送NTLM協商資料包。這告知WSA客戶端要執行NTLM身份驗證。
- WSA向客戶端傳送NTLM質詢字串。
- 客戶端使用基於其密碼的演算法來修改質詢,並將質詢響應傳送到WSA。
- 然後,AD伺服器根據客戶端是否正確修改質詢字串來驗證客戶端是否使用了正確的密碼。
意見