메모
Windows 11 22H2부터 Microsoft는 wDigest라고도 하는 Microsoft 다이제스트를 더 이상 사용하지 않습니다. 지원되는 Windows 버전에서 Microsoft Digest를 계속 지원합니다. 이후 버전의 Windows에는 Microsoft Digest에 대한 제한된 기능이 포함되며, 결국 Microsoft 다이제스트는 Windows에서 더 이상 지원되지 않습니다.
초기 인증은 서버가 클라이언트로부터 챌린지 응답을 받을 때 발생합니다. 챌린지 응답을 인증하려면 일반적으로 다음 두 개 이상의 서버가 필요합니다.
- 원래 서버는 클라이언트로부터 요청을 받고 챌린지를 발급한 다음, 인증해야 하는 클라이언트로부터 챌린지 응답을 받습니다.
- 인증 서버는 원래 서버에서 권한 부여 정보를 수신하고 인증을 수행합니다. 이 서버는 일반적으로 여러 원본 서버를 지원하는 도메인 컨트롤러입니다.
원래 서버가 다이제스트 챌린지 응답을 포함하는 권한 부여 헤더가 포함된 요청을 받으면 인증은 다음과 같이 진행됩니다.
- 원래 서버의 ID는 챌린지의 nonce로 인코딩된 서버에 대해 확인됩니다.
- nonce로 인코딩된 타임스탬프를 검사합니다. nonce가 만료되고 사용자 이름/암호 정보가 유효한 경우, 원래 서버는 stale 지시어가 "true"로 설정된 새 Digest 챌린지를 발행하여 인증을 종료합니다. 이는 nonce만 "만료"되었으며 클라이언트가 이전 응답에서 사용한 암호를 사용하여 새로운 챌린지에 응답할 수 있음을 나타냅니다. 부실 챌린지에 대한 챌린지 응답을 보낸 후 클라이언트가 새 챌린지를 수신하는 경우 클라이언트는 새 챌린지 응답을 생성해야 합니다.
- 재생 탐지가 강제될 경우, 서버에서 유지 관리하는 nonce 세션 데이터베이스에 대해 nc 지시문(nonce 카운트)이 확인됩니다.
- 인증 서버가 식별되어 클라이언트의 권한 부여 정보를 보냅니다.
- 인증 서버는 nonce에 인코딩된 서버의 ID와 원래 서버의 ID를 확인합니다.
- 도메인 컨트롤러인 인증 서버는 사용자의 암호를 검색합니다.
- 인증 서버는 권한 부여 정보, 암호 및 원래 서버 ID를 사용하여 클라이언트가 챌린지 응답의 응답 지시문에서 제공해야 하는 값을 계산합니다. 인증 서버는 계산된 값을 클라이언트의 응답과 비교하여 인증의 성공 또는 실패를 확인합니다.
인증에 성공하면 사용자의 보안 컨텍스트 다이제스트 세션 키 원래 서버로 반환됩니다. 인증에 실패하면 원래 서버에서 오류 응답을 생성해야 합니다. 인증에 성공하면 원래 서버는 요청된 리소스를 클라이언트에 반환합니다.
인증 서버에서 반환된 다이제스트 세션 키는 이후 요청을 인증하는 데 사용하기 위해 원래 서버에서 캐시됩니다. 자세한 내용은 Microsoft Digest 사용하여 후속 요청 인증참조하세요.