Windows域中的NTLM SSO是如何工作的？

Question

我用NodeSSPI证明了NodeSSPI中单点登录的概念。这是可行的，我得到的用户名，我是登录在我们的公司广告领域-没有输入任何帐户信息或凭据。但我想知道这是如何可能的细节，因为它的工作在IE和Chrome的盒子。我找到了一个MSDN关于NTLM的文章，上面写着：

1. 登录用户的用户名被发送到服务器。
2. 服务器生成随机数挑战并将其发送给客户端。
3. 客户端使用用户密码哈希加密挑战，并将其发送回服务器。
4. 服务器向DC发送用户名、质询和挑战响应。
5. DC将PW与数据库进行比较，如果与数据库匹配，则对用户进行身份验证。

我特别想知道第一步和第二步:这是在哪里发生的？例如，用户名是如何转移到服务器的？这是http请求的一部分吗？我查看了来自chrome developer工具的请求，没有看到任何标题或其他信息，这些信息表明，我的AD用户名被发送到服务器。

请注意：这些问题只适用于用户不提供凭据的SSO！因为当用户输入他的凭据时，这是明确的。

Answer 1

这是http请求的一部分吗？

是。正如在RFC 4559中所描述的，您应该看到WWW认证:从服务器的响应协商头，并因此从客户端看到授权头。

如果开发人员工具没有显示这一点，请返回一个网络捕获。