basic / integrated Auth

[roxor 10]

hi leute

 

benutze in einer testumgebung ISA und OWA. hab nun ne frage bezüglich den authentifizierungsmethoden (bei installiertem FP1).

 

auf dem IIS sowie auf dem ISA kann ich angeben, welche authentifizierungsmethoden benutzt werden können. in beiden fällen habe ich nur basic angewählt, da ich mit zertifikaten und SSL arbeite und somit die sicherheit der übertragung gewährleistet ist.

wenn ich nun aber noch integrated windows auth angewählt hätte, würden dann beim authentifizieren die credentials über SSL und im integrated mode geschickt werden? ich glaube eben, dass windows integrated auth der basic auth vorgezogen wird. oder kann man mit SSL nur basic auth benützen (d.h. dass das PW sowie username in klartext übertragen werden)?

eigentlich würde die windows integrated auth ja sinn machen, wenn man kein SSL benutzt, da das password nicht gesendet, sonder nur der hashwert des pw sowie Username übertragen wird.

 

 

mfg

rox

[grizzly999 11]

Wenn beides angehakt ist, wird zuerst die integr. Auth. versucht, dann die Basic.

 

Wenn man die intergrierte Auth. nimmt, wird zwar das Kennwort gehasht gesendet, aber mit dem NTLM-Hash was glaubst, wie lange brauche ich, wenn ich dieses Paket abfange, zum entschlüsseln?

Außerdem wird die integrierte selten funktionieren, zumindest dann nicht, wenn man an einem Rechner angemeldet ist, der nicht zur Domäne gehört. Ich zeihe in dem Fall die Basisauth. mit SSL vor.

 

 

grizzly999

[roxor 10]

nun okay, dass zuerst die integr. auth. versucht wird, ist mir schon klar! aber wird in diesem fall auch ein SSL tunnel erstellt? also wird der hash-wert mit ssl zusätzlich verschlüsselt oder wird ssl nur dann benutzt, wenn basic-auth benutzt wird?

 

ich denke, das in jedem fall SSL benutzt wird, richtig?

 

mfg

rox