《Windows安全認(rèn)證是如何進(jìn)行的？[Kerberos篇] 》中我們介紹Kerberos認(rèn)證的整個(gè)流程。在允許的環(huán)境下，Kerberos是首選的認(rèn)證方式。在這之前，Windows主要采用另一種認(rèn)證協(xié)議——NTLM（NT Lan Manager）。NTLM使用在Windows NT和Windows 2000 Server（or later）工作組環(huán)境中（Kerberos用在域模式下）。在AD域環(huán)境中，如果需要認(rèn)證Windows NT系統(tǒng)，也必須采用NTLM。較之Kerberos，基于NTLM的認(rèn)證過(guò)程要簡(jiǎn)單很多。NTLM采用一種質(zhì)詢/應(yīng)答（Challenge/Response）消息交換模式，右圖反映了Windows2000下整個(gè)NTLM認(rèn)證流程。

步驟一

用戶通過(guò)輸入Windows帳號(hào)和密碼登錄客戶端主機(jī)。在登錄之前，客戶端會(huì)緩存輸入密碼的哈希值，原始密碼會(huì)被丟棄（“原始密碼在任何情況下都不能被緩存”，這是一條基本的安全準(zhǔn)則）。成功登錄客戶端Windows的用戶如果試圖訪問(wèn)服務(wù)器資源，需要向?qū)Ψ桨l(fā)送一個(gè)請(qǐng)求。該請(qǐng)求中包含一個(gè)以明文表示的用戶名。

步驟二

服務(wù)器接收到請(qǐng)求后，生成一個(gè)16位的隨機(jī)數(shù)。這個(gè)隨機(jī)數(shù)被稱為Challenge或者Nonce。服務(wù)器在將該Challenge發(fā)送給客戶端之前，該Challenge會(huì)先被保存起來(lái)。Challenge是以明文的形式發(fā)送的。

步驟三

客戶端在接收到服務(wù)器發(fā)回的Challenge后，用在步驟一中保存的密碼哈希值對(duì)其加密，然后再將加密后的Challenge發(fā)送給服務(wù)器。

步驟四

服務(wù)器接收到客戶端發(fā)送回來(lái)的加密后的Challenge后，會(huì)向DC（Domain）發(fā)送針對(duì)客戶端的驗(yàn)證請(qǐng)求。該請(qǐng)求主要包含以下三方面的內(nèi)容：客戶端用戶名；客戶端密碼哈希值加密的Challenge和原始的Challenge。

步驟五、六

DC根據(jù)用戶名獲取該帳號(hào)的密碼哈希值，對(duì)原始的Challenge進(jìn)行加密。如果加密后的Challenge和服務(wù)器發(fā)送的一致，則意味著用戶擁有正確的密碼，驗(yàn)證通過(guò)，否則驗(yàn)證失敗。DC將驗(yàn)證結(jié)果發(fā)給服務(wù)器，并最終反饋給客戶端。