Cisco Cisco Web Security Appliance S670 Informationshandbuch
数据包级别的 NTLM 身份验证是什么样的?
文档编号:117931
作者:Josh Wolfer 和 Jeff Richmond,Cisco TAC 工程师。 2014 年 7
月 14 日
目录
问题:
数据包级别的 NTLM 身份验证是什么样的?
ip.addr==165.2.2.129.158 client
ip.addr==165.202.2.150 WSA>
ip.addr==165.202.2.150 WSA>
数据包编号/详细信息:
4 - 客户端向代理发送 GET 请求
6 - 代理发回 407。 这表示代理由于缺乏适当的身份验证而未允许该流量。 如果查看此响应中的
HTTP 报头,您将看到“Proxy-authenticate: NTLM”。 这将告知客户端身份验证的可接受方法是 NTLM
。 同样,如果存在报头“Proxy-authenticate: Basic”,则代理告知客户端可以接受基本凭证。 如果存在
两个报头(通用),则客户端将决定要使用的身份验证方法。
。 同样,如果存在报头“Proxy-authenticate: Basic”,则代理告知客户端可以接受基本凭证。 如果存在
两个报头(通用),则客户端将决定要使用的身份验证方法。
请注意,验证报头是
“Proxy-authenticate:”。 这是因为捕获的连接使用显式转发代理。 如果这是透明
代 理 部 署 , 则 响 应 代 码 为 401 而 不 是 407 , 并 且 报 头 为 “www-authenticate:” 而 不 是 “proxy-
authenticate:”。
authenticate:”。
8 - 代理对此 TCP 套接字执行 FIN 操作。 这是正确并且正常的。
15 - 在新的 TCP 套接字上,客户端执行另一 GET 请求。 此时要注意,GET 中包含 HTTP 报头
“proxy-authorization:”。 其中包含用户/域相关详细信息的编码字符串。
“proxy-authorization:”。 其中包含用户/域相关详细信息的编码字符串。
如果展开
“代理-授权”(Proxy-authorization) > NTLMSSP,您将看到在 NTLM 数据中发送的解码信息。
在
“NTLM 消息类型”(NTLM Message Type) 中,您将看到它是“NTLMSSP_NEGOTIATE”。 这是 3 次
NTLM 握手的第一步。
17 - 代理将响应另一个 407。 将出现另一个“proxy-authenticate”报头。 此时其中包含 NTLM 质询字符
串。 如果您进一步展开,您会看到 NTLM 消息类型为“NTLMSSP_CHALLENGE”。 这是 3 次 NTLM
握手的第二步。
串。 如果您进一步展开,您会看到 NTLM 消息类型为“NTLMSSP_CHALLENGE”。 这是 3 次 NTLM
握手的第二步。